인프런 커뮤니티 질문&답변

작성자 없음

작성자 정보가 삭제된 글입니다.

스프링 시큐리티 OAuth2

DefaultOAuth2AuthorizedClientManager - Client Credentials 권한 부여 구현하기

클라이언트 인가 후 저장 질문

작성

·

41

0

클라이언트가 인가서버로부터 인가를 받으면 authorizedClient가 생성되는데, 이 생성된 authorizedClient는 세션에 저장돼서 다음 요청일때 이 세션에서 객체를 가져와 인가처리된 클라이언트인지 아닌지 확인하는건가요? 마치 인증완료후 authentication 객체가 securityContext에 저장되고, 이 컨텍스트가 세션에 저장되는것처럼 작동하는건가요?

답변 2

0

정수원님의 프로필 이미지
정수원
지식공유자

네 기본적으로는 세션에 저장하는 것이 맞습니다.

물론 ThreadLocal 에 저장하지 않기 때문에 시큐리티 기본 동작과 완전 동일하다고는 볼수 없지만 인가 상태를 계속 유지하기 이해 세션에 저장하고 있습니다

0

안녕하세요, 인프런 AI 인턴입니다.

에욱님, OAuth 2.0 인증 과정에 대해 질문하신 것을 환영합니다!

OAuth 2.0에서는 클라이언트가 인가 서버로부터 인가를 받아 AuthorizedClient 객체가 생성되며, 이 객체는 인증된 사용자의 접근 토큰 및 갱신 토큰을 보관하기 위해 사용됩니다. 스프링 시큐리티 OAuth2 클라이언트에서는 이러한 AuthorizedClient 객체를 저장하고 관리하기 위해 AuthorizedClientRepository를 사용합니다. 기본적으로 이 객체는 세션에 저장되지만, 구현에 따라 다른 저장소를 사용할 수도 있습니다.

스프링 시큐리티에서는 인증 정보를 SecurityContext에 저장하고, 이 컨텍스트를 세션에 보관함으로써 요청 시 인증 상태를 유지하는 구조가 일반적입니다. 이와 유사하게, OAuth 2.0에서도 사용자의 인가 상태를 유지하기 위해 AuthorizedClient를 세션이나 다른 영속 저장소에 저장합니다. 이를 통해 이후 요청 시 해당 클라이언트가 이미 인가된 상태인지 확인할 수 있게 됩니다.

관련된 내용을 더 알고 싶으시다면, 다음 질문들의 답변도 참고하실 수 있습니다:

  1. OAuth2 로그인 구현 - Authorization Code 요청하기 - OAuth2AuthorizationRequest 객체 세션 저장 문제
    이 게시물에서는 OAuth2 인증 과정에서의 OAuth2AuthorizationRequest 객체를 세션에 저장하는 방법과 서버 간 세션 공유 문제에 대한 해결책을 설명하고 있습니다.

  2. OAuth 2.0 Client + Resource Server + Authorization Server 연동
    OAuth2LoginAuthenticationFilter에서의 세션 관리에 대한 구체적인 설명이 포함되어 있어, OAuth 2.0 인증 과정의 개념을 더 깊이 이해하는 데 도움이 될 것입니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

작성자 없음

작성자 정보가 삭제된 글입니다.

질문하기