-
질문 & 답변
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
authentication인증객체의 name과 credentials 의 자료형
22.10.25 13:19 작성 조회수 192
0
안녕하세요 선생님.
customAuthenticationProvider를 강의에서 구현하실 때,
사용자가 폼인증시 입력했던 정보가 authentication객체에 있기 때문에
getName() , getCredentials()로 얻어내는 과정을 거쳤습니다.
name의 경우 String이나
credentials의 경우 Object로 얻어오기 때문에 (String) 형변환이 필요했는데요.
질문1
왜 비밀번호의 경우 Object 타입으로
Authentication(구현클래스 UsernamePasswordAuthenticationToken)에 보관하는지 궁금합니다.
질문2
CustomAuthenticationProvider.java 를 구현하실 때 아래와 같이 최종리턴하는 객체는 Authentication입니다.
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
...
return new UsernamePasswordAuthenticationToken(accountContext.getAccount(), null, authorities);
}강의에서 return문에서 생성자의 첫 인자로 accountContext(User객체)가 아닌 Acount(엔티티객체)를 넣어줬습니다.
principal자리에는 username 혹은 user객체를 넣는 것으로 이해를 하고 있었는데
갑자기 엔티티가 나와서 당황한 상황입니다.
new UsernamePasswordAuthenticationToken(accountContext, null, authorities); 가 아닌
new UsernamePasswordAuthenticationToken(accountContext.getAccount(), null, authorities); 인 이유가 있는지 궁금합니다.
(실전프로젝트-인증프로세스Form인증구현 > 5.DB연동인증처리2 > 강의시각10:00)
답변을 작성해보세요.
0
정수원
지식공유자2022.11.01
네
질문1
credentials 은 반드시 비밀번호를 넣는다는 개념이 있는 것은 아닙니다.
사용자 혹은 요청자의 자격증명을 위한 것이라면 비밀번호든, 토큰이든 어떤 것이라도 제한을 두지 않습니다.
폼 로그인 같은경우 비밀번호가 자격증명을 위한 값이 될 수 있지만 OAuth 같은 경우 그렇지 않을 수 있습니다.
그렇기 때문에 타입을 String 으로 제한하지 않고 Object 타입으로 둔 것이라 할 수 있습니다.
질문 2
좋은 지적이십니다.
AccountContext 는 UserDetails 타입으로 생성된 객체고 실제 사용자의 정보를 담고 있는 객체는 Account 인데 이 객체는 Entity 이기 때문에 일반 POJO 객체로 다시 한번 변환한 다음 AccountContext 객체에 저장하는 것이 더 좋은 구조라 할 수 있습니다.
즉
Account account = userRepository.findByUsername(username);
AccountDto accountDto = modelMapper.map(account, AccountDto.class);
AccountContext accountContext = new AccountContext(accountDto , collect)
new UsernamePasswordAuthenticationToken(accountContext.getAccountDto(), null, accountContext.getAuthorities());
와 같이 구성하는 거죠
ddoddo 님께서 설명하신 대로 구현하는 게 좋습니다.
답변 1