• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

SecurityContext 의 clear시점이 궁금합니다.

23.08.26 03:37 작성 조회수 347

0

강의를 듣다가 궁금한점이 생겨 이렇게 질문 드립니다.

SecurityContextPersistenceFilter에서 클라이언트의 최종 요청이 끝나면 SecurityContext를 클리어한다고 알고 있습니다.

거기서 클라이언트의 최종요청 이라는것이 SecurityContext는 세션에 저장되어 있으니 세션만료 될때까지는 존재 하는것인지 아니면 요청이다보니 하나의 컨트롤러에서 하나의 작업을 수행 후 리턴해주고 끝났을때 마다 SecurityContext 를 클리어해주고 새로운 요청이오면 다시 만드는 것인지 궁금합니다.

course-thumbnail

스프링 시큐리티

11) 스프링 시큐리티 필터 및 아키텍처 정리

강의실 바로가기

답변 1

답변을 작성해보세요.

1

정수원님의 프로필

정수원

지식공유자

2023.08.26

두번째 질문하신 내용이 맞습니다

SecurityContext는 의 생명주기는 Request 입니다

즉 요청이 시작될 때 세션으로부터 꺼내어 사용하고 요청이 끝나면 삭제하는 것입니다

왜 굳이 삭제하는가 생각해보면 Request 는 스레드와 1:1 매핑관계인데 사용자의 스레드는 풀 개념으로 순환되기 때문에 한 사용자의 스레드가 다른 사용자의 스레드와 동일한 스레드가 될 수 있고 그렇게 되면 SecurityContext 가 인증이 안된 사용자에게 갈 수 있기 때문에 삭제가 되어야 합니다

SecurityContext 는 스레드마다 가지고 있는 스레드로컬에 저장되기 때문에 스레드 풀로 운영되는 서버에서는 여러 사용자가 동일한 스레드를 공유할 수 있다는 문제가 존재합니다

이 글과 비슷한 Q&A