무상태성
346
投稿した質問数 115
안녕하세요. 백기선선생님
강의내용을 아래와 같이 정리했습니다.
- Authentication 인증객체는 SecurityContext에 저장됨.
- HttpSession에 SecurityContext가 캐싱됨.
질문
쿠키-세션방식에서는 모든 사용자의 인증정보를 서버측 세션에 보관했지만 이를 개선한 방식이 jwt토큰방식으로 알고 있습니다.
그런데 jwt토큰으로 인증을 마치고 나면 인증정보가 SecurityContext에 저장되고 이 SecurityContext도 세션에 캐싱되니 결론적으로 jwt방식도 로그인한 모든 사용자의 인증정보를 서버에 저장하게 되는 꼴이 아닌가 생각됩니다.
위 내용중에 잘못된 부분이 있으면 조언부탁드립니다.
감사합니다!
回答 2
1
네 JWT는 토큰 스팩일 뿐 해당 토큰을 클라이언트 (브라우저나 앱)이 가지고 있다가 서버로 요청 보낼 때 같이 보내오면 서버는 해당 토큰이 유효한지만 확인하기 때문에 stateless 방식의 인증을 구현할 때 자주 쓰입니다.
0
https://okky.kr/article/663919
위 글을 보고 SecurityContext의 생명주기가 HttpRequest에 의존적이라 Authentication인증객체를 서버가 계속 보관하지 않고 요청 1회성으로만 인증객체를 Controller에서 이용하고 소멸되는 것으로 이해할 수 있었습니다. 따라서 jwt방식은 '무상태'라고 할 수 있을것 같습니다.
커스텀 로그인 페이지를 등록할 경우 LogoutFilter의 등록 여부 질문
0
383
1
anonymousClass를 사용하는 이유
0
387
1
ExcpetionTranslationFilter가 FilterSecurityInterceptor에서 발생하는 예외만 처리하는 이유
0
242
1
Principal 인터페이스와 User 클래스의 관계
0
756
1
passwordEncoder 질문드립니다.
0
320
1
WebSecurityConfigurerAdapter is deprecated 가 불편하신 분들을 위해
6
864
1
왜 스프링은 userid가 아니고 username을 사용했을까요?
0
1022
1
로그인 후 로그인 페이지 접속
0
282
1
AuthenticationException은 어떤 경우에 발생하는지
0
556
1
AccountService에 비밀번호
1
224
1
커스텀 어노테이션 의 `커스텀 value` 설정방법에 관한 질문입니다.
0
356
1
passwordEncoder 빈 생성 시 차이
0
252
1
Bean 등록 관련 질문입니다.
0
247
1
시큐리티 전략관련
0
354
3
브라우저 기반 요청이 클라이언트의 요청을 처리 -> 의 의미?
0
228
1
AccountControllerTest 실행오류
0
1066
1
알려주신대로 설정을 해도 다시 302요청을 보냅니다....
0
342
1
voter에 대해 질문이 있습니다.
0
225
1
제가 맞게 이해한것인지 궁금합니다.
1
233
1
Spring security test 수행시 @AuthenticationPrincipal 가 null 로 세팅됨
0
546
1
Spring security Multi 인증 문의드려요
0
287
1
ProviderManager 문의
0
267
1
UserDetailsService 가 DaoAuthenticationProvider 에 어떻게 주입 되는지 알 수 있을 까요?
0
326
1
Servlet Filter 질문이 있습니다.
0
287
1