Remember Me 에 대한 몇 가지 질문

Question

안녕하세요~! 강의를 듣던 중 질문의 몇 가지 있어서 남기게 되었습니다. 1. https://www.inflearn.com/questions/497954 해당 질문에 답변에서 세션에는 Security Context가 저장되고, S.C 안에는 Authentication 객체가 저장되는 걸로 이해를 하였습니다. 스프링 입장에서 봤을 때, 특정 로그인 요청 > 인증 진행 > 인증 완료 및 Authentication 객체 형성 > Security Context에 저장 > 응답으로 쿠키에 세션을 넣어서 전달 의 순서로 이해를 했다면, Security Context 는 혹시 앱 내에 저장소? 같은 공간일까요? 앱 내의 스프링 컨테이너 역시 ApplicationContext처럼 Context 가 저장소 같은 느낌으로 쓰이는가 싶어서요. 만약 그렇다면, Security Context 에는 현재 앱에 "로그인이 되어 있다, 인증 되어 있다" 라고 하는 유저들의 Authentication 객체가 모두 저장되어 있는 것으로 이해를 해도 될까요? 또 만약 그렇다면, 각 유저에게 세션을 전달하게 되는데... Security Context를 어떻게 세션에 모두 넣어서 전달을 하는 걸까요..? 질문이 좀 난해하지만 유저에게 전달한다는 Session, Security Context가 정확히 무엇인지?에 대해서 궁금한 것 같습니다. 2. SessionID 를 주고 받음으로써 이미 "로그인 상태, 인증 상태" 를 판별할 수 있는 것 같은데, 굳이 remember-me 를 또 사용하는 이유는 뭔가요?   그리고 http.rememberMe() 설정 중에 갑자기 .userDetailService 가 등장했는데 그냥 설정만 해주시고 넘어간 것 같습니다. 해당 부분이 어떤 부분인지 알 수 있을까요? 감ㅅ합니다.

정수원 · Answer

1번 질문 SecurityContext 는 매 요청마다 새롭게 생성되거나 이미 생성되어 있다면 세션에서 가져오게 됩니다. 즉 사용자별로 할당이 되는 객체라 볼 수 있습니다. 스프링 컨테이터의 ApplicationContext 는 어플리케이션 내 생성된 빈들을 모두 담아 놓는 저장소이지만 SecurityContext 는 그렇지 않고 각 요청별로 생성된 스레드마다 할당되는 저장소라 보시면 됩니다. 그리고 SecurityContext 는 각 사용자의 세션에 저장됩니다 .   2번 질문 remember-me 는 세션이 페기 혹은 만료되더라도 자동 로그인이 되도록 하기 위한 인증 방식입니다. SessionID 가 더이상 유효하지 않을 경우 remember-me 쿠키가 존재한다면 이 쿠키를 통해서 로그인 처리가 이루어지는 인증방식입니다   3번 질문 UserDetailsService 는 remember-me 인증 처리시 사용자의 정보를 조회하는 과정이 있는데 이 때 UserDetailsService 객체를 사용합니다. 그래서 UserDetailsService 를 설정해 주어야 합니다.