인증
해당 유저가 실제 유저인지 인증하는 개념
유저나 디바이스의 시원을 증명하는 행위
인가
해당 유저가 특정 리소스에 접근이 가능한지 허가 확인
유저나 디바이스에게 접근 권한 부여
인증과 인가
| 인증 | 인가 | |
| 기능 | 자격 증명 확인 | 권한 허가/거부 |
| 진행방식 | 비밀번호, 생체인식 | 보안 팀에서 관리하는 설정 사용 |
| 사용자가 볼 수 있는가 | o | x |
| 사용자가 변경할 수 있는가 | 부분적 가능 | 불가능 |
| 데이터 전송 | Id 토큰 사용 | 액세스 토큰 사용 |
스프링 시큐리티
- 스프링 시큐리티란 스프링 기반의 애플리케이션의 보안(인증과 인가 등) 을 담당하는 스프링 하위 프레임워크
- 스프링 시큐리티에서는 주로 서블릿 필터와 이들로 구성된 필터체인으로 구성된 위임 모델 사용
- 보안과 관련해서 체계적으로 많은 옵션을 제공해주기 때문에 개발자 입장에서는 보안관련 로직을 작성하지 않아도 되는 장점이 있다.
기본 용어
- 접근 주체 : 보호된 리소스에 접근하는 대상
- 인증 : 보호된 리소스에 접근한 대상에 대해 작업을 수행해도 되는 주체인지 확인하는 과정
- 인가 : 해당 리소스에 대해 접근 권한이 있는지 확인하는 과정
- 권한 : 리소스에 대한 접근 제한, 모든 리소스는 접근 제어 권한이 걸려있고 인가 과정에서 해당 리소스에 대한 제한된 최소한의 권한을 가졌는지 확인
참고 자료
'Spring' 카테고리의 다른 글
| Spring) 프록시 , 즉시로딩 지연로딩 (0) | 2022.12.09 |
|---|---|
| Spring) 연관관계 매핑 (1) | 2022.12.08 |
| Sping) ORM, JPA, Spring Data JPA (0) | 2022.12.07 |
| Spring) 스프링 프레임 워크 , IOC (0) | 2022.12.07 |
| Spring) Bean Validation (0) | 2022.12.04 |
