FilterSecurityInterceptor의 인증예외에 관해서
239
작성한 질문수 7
FilterSecurityInterceptor가
인증예외를 터트릴때
1.익명사용자일때
2.rememberme 인증 사용자일때
라고 말씀해주셧는데요.
1번은 당연히 인증되지않는 사용자이므로
이해가됩니다.
2.rememberme사용자는 어쨋든
sc에 인증객체까지 담아서 인증이 완료된것인데
왜 인증예외를 터트리는것인가요?
-->제 생각으로 는
예를들어 관리자계정같은경우는 rememberme로
다시 자동로그인이 된다면 관리자권한이 필요한
관리자페이지의경우에는 중요한페이지이므로
일부러 다시로그인 해달라고 하기위해서 설정해놓은 장치인가요?
답변 1
2
네
스프링 시큐리티에서 Remember Me 인증은 fully authenticated 즉 완전한 인증을 뜻하지는 않습니다.
완전한 인증이라 함은 로그인 행위에 있어 아이디와 패스워드와 같은 신원증명을 할 수 있는 것을 의미합니다.
만약 설정에서 인증조건을 Authenticated 가 아닌 Fully Authenticated 라고 했을 경우에는 인증예외가 발생하게 됩니다.
또는 Remember Me 의 토큰이 만료가 되었을 경우에도 인증예외가 발생합니다.
Remember Me 는 특수한 토큰을 발급하여 사용자가 신원증명을 하지 않더라도 토큰이 만료되지 않으면 토큰만으로도 인증처리가 되기 때문에 만약 인증 예외가 발생했는데 그것이 Remember Me 인증일 경우 일단 모든 토큰을 무효화 시켜서 자동 로그인이 되지 않도록 차단하고 다시 새롭게 신원증명할 수 있도록 해야 하기 때문에 ExceptionTranslationFilter 에서 인증예외 처리를 하고 있습니다.
질문에서 Remember Me 인증예외가 발생한 원인이 무엇인지 잘 모르겠으나 Remember Me 은 Fully Authenticated 가 아님을 기억하시기 바랍니다.
0
저 혹시 만약에 /user라는 자원상에서 fullyAuthenticated()가 아닌 그냥 authenticated()라고 하면 RememberMe인증이라고 하더라도 인증 예외가 발생하지 않는것이 맞는건가요??
시큐리티 공부 버전 질문
0
192
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
199
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
187
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
271
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
248
1
파라미터값이 넘어가지 않습니다 ....
0
382
1
security filterChain 설정 질문이 있습니다.
0
337
1
소스 부분 질문 드립니다.
0
214
2
섹션4 7번 강의 문제가 있는거 같네요.
0
352
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
312
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
566
2
error , exception 이 잘 안됩니다.
0
290
2
thymeleaf tag 질문합니다.
0
201
2
버전업하면서 deprecated된 것들이 너무많아요
0
483
1
spring security 패치 관련
0
443
1
모바일을 사용할때 토큰말고 세션
0
870
2
DB 연동한 인가 부분에 대한 질문입니다!
0
270
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
314
1
Config 파일 생성 시 질문이 있습니다.
0
238
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
443
2
403 에러 뜹니다.
0
832
2
login_proc의 존재에 대한 간략한 설명입니다
0
284
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
295
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
196
1