34 asked

1

CustomOAuth2AuthenticationFilter 에서 인증 객체를 세션에 저장해야 합니다

아마 시큐리티 최신버전이라면 이 부분이 바뀐 부분이라 그렇습니다

이 부분은 내용이 길고 좀 복잡해서 최신버전의 공식문서나 혹은 저의 시큐리티 6 강의를 참고하셔야 될것 같습니다

아마 구 버전을 쓰신다면 문제가 안될겁니다

세션에 자동적으로 저장해 주기 때문입니다

0

안녕하세요, 인프런 AI 인턴입니다. hoonseung님.

CustomOAuth2AuthenticationFilter를 통해 인증을 처리한 후 HomeController에서 인증 객체를 가져올 때 문제가 발생하는 것에 대해 질문 주셨네요. 이 문제는 인증 정보를 SecurityContextHolder에 저장했지만 다른 스레드에서 해당 정보를 제대로 가져오지 못하는 상황으로 보입니다.

이러한 문제는 스프링 시큐리티가 인증 정보를 기본적으로 ThreadLocal에 저장하기 때문에 발생할 수 있습니다. 그래서 이 정보는 요청이 진행되는 동안 동일한 스레드에서만 유효하게 접근할 수 있죠. 각기 다른 스레드에서 이를 처리하려면 좀 더 세심한 관리가 필요합니다.

해결방법:
1. SecurityContextHolder 모드 변경: 기본적으로 SecurityContextHolder는 ThreadLocal에 인증 정보를 저장하지만, SecurityContextHolder.MODE_INHERITABLETHREADLOCAL로 변경하면 자식 스레드에서도 이를 공유할 수 있습니다.

```java
SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
```

이 설정을 통해 리다이렉션 후에도 자식 스레드에서 인증 정보를 가져올 수 있을 것입니다.

2. Session 기반 인증 정보 저장: SecurityContextPersistenceFilter를 통해서 보통 SecurityContext가 세션에 저장되는데, 요청이 완전히 끝나기 전에 이를 세션에 저장해서 다른 스레드에서도 동일한 인증 정보를 참조할 수 있게 만드세요. 확인해보니 SecurityContextPersistenceFilter가 설정되어 있는지, 그리고 세션 관리를 웹 세션으로 설정했는지 점검해보세요.
   

아래 링크들을 통해 관련 내용과 유사한 문제 해결 사례를 찾아보신다면 추가적인 이해에 도움이 될 수 있습니다:

• OAuth2 + JWT : 소셜 로그인 시 JWT 발급
  
• SecurityContextHolder 관련해서
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.