authentication인증객체의 name과 credentials 의 자료형

Question

안녕하세요 선생님. customAuthenticationProvider를 강의에서 구현하실 때, 사용자가 폼인증시 입력했던 정보가 authentication객체에 있기 때문에 getName() , getCredentials()로 얻어내는 과정을 거쳤습니다. name의 경우 String이나 credentials의 경우 Object로 얻어오기 때문에 (String) 형변환이 필요했는데요. 질문1 왜 비밀번호의 경우 Object 타입으로 Authentication(구현클래스 UsernamePasswordAuthenticationToken)에 보관하는지 궁금합니다. 질문2 CustomAuthenticationProvider.java 를 구현하실 때 아래와 같이 최종리턴하는 객체는 Authentication입니다. @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { ... return new UsernamePasswordAuthenticationToken(accountContext.getAccount(), null, authorities); } 강의에서 return문에서 생성자의 첫 인자로 accountContext(User객체)가 아닌 Acount(엔티티객체)를 넣어줬습니다. principal자리에는 username 혹은 user객체를 넣는 것으로 이해를 하고 있었는데 갑자기 엔티티가 나와서 당황한 상황입니다. new UsernamePasswordAuthenticationToken(accountContext, null, authorities); 가 아닌 new UsernamePasswordAuthenticationToken(accountContext.getAccount(), null, authorities); 인 이유가 있는지 궁금합니다. (실전프로젝트-인증프로세스Form인증구현 > 5.DB연동인증처리2 > 강의시각10:00)

정수원 · Answer

네 질문1 credentials 은 반드시 비밀번호를 넣는다는 개념이 있는 것은 아닙니다. 사용자 혹은 요청자의 자격증명을 위한 것이라면 비밀번호든, 토큰이든 어떤 것이라도 제한을 두지 않습니다. 폼 로그인 같은경우 비밀번호가 자격증명을 위한 값이 될 수 있지만 OAuth 같은 경우 그렇지 않을 수 있습니다. 그렇기 때문에 타입을 String 으로 제한하지 않고 Object 타입으로 둔 것이라 할 수 있습니다. 질문 2 좋은 지적이십니다. AccountContext 는 UserDetails 타입으로 생성된 객체고 실제 사용자의 정보를 담고 있는 객체는 Account 인데 이 객체는 Entity 이기 때문에 일반 POJO 객체로 다시 한번 변환한 다음 AccountContext 객체에 저장하는 것이 더 좋은 구조라 할 수 있습니다. 즉 Account account = userRepository.findByUsername(username); AccountDto accountDto = modelMapper.map (account, AccountDto.class); AccountContext accountContext = new AccountContext(accountDto , collect) new UsernamePasswordAuthenticationToken(accountContext.getAccountDto(), null, accountContext.getAuthorities()); 와 같이 구성하는 거죠 ddoddo 님께서 설명하신 대로 구현하는 게 좋습니다.