Spring Security의 권한 부여 처리 흐름

  • Spring Security Filter Chain에서 URL을 통해 사용자의 액세스를 제한하는 권한 부여 Filter는 바로 AuthorizationFilter 이다.
    • SecurityContextHolder로 부터 Authentication을 획득
  • SecurityContextHolder로 부터 획득한Authentication과 HttpServletRequest를 AuthorizationManager에게 전달
  • AuthorizationManager는 권한 부여 처리를 총괄하는 매니저 역할을 한다.
  • RequestMatcherDelegatingAuthorizationManagerAuthorizationManager를 구현하는 구현체 중 하나이다.
    • RequestMatcherDelegatingAuthorizationManagerRequestMatcher 평가식을 기반으로 해당 평가식에 매치되는 AuthorizationManager에게 권한 부여 처리를 위임하는 역할
    • RequestMatcherDelegatingAuthorizationManager가 직접 권한 부여 처리를 하는 것이 아니라 RequestMatcher를 통해 매치되는 AuthorizationManager 구현 클래스에게 위임
    • RequestMatcherDelegatingAuthorizationManager 내부에서 매치되는 AuthorizationManager 구현 클래스가 있다면 해당 AuthorizationManager 구현 클래스가 사용자의 권한을 체크
  • 적절한 권한이 아니라면 (5)와 같이 AccessDeniedException이 throw되고 ExceptionTranslationFilter가 AccessDeniedException을 처리
저작자표시 비영리 변경금지

'Java Backend 개발자 되기 > Spring Security' 카테고리의 다른 글

JWT를 이용한 인증(Authentication) 및 자격 검증(Authorization) 프로세스  (4) 2023.01.19
JWT 자격 검증 시, SecurityContext는 언제 비워(clear)질까?  (8) 2023.01.19
Spring Security에서의 인증(Authentication) 처리 흐름  (0) 2023.01.17
메시지 암호화에 대한 짧은 이야기  (0) 2023.01.16
HTTPS의 동작 원리와 CA의 역할을 그림으로..  (2) 2023.01.13

+ Recent posts

출처: http://large.tistory.com/23 [Large]

티스토리툴바