인프런 커뮤니티 질문&답변

송상근님의 프로필 이미지
송상근

작성한 질문수

스프링 시큐리티

4) Form Login 인증 필터 : UsernamePasswordAuthenticationFilter

연결 부분

작성

·

197

0

이런 내부 인증 과정을 세세하게 알 수 있어서 너무 좋습니다..

근데 중간에 브레이킹 포인트 찍을 때 장면이 생략이 되서 중간 중간 부분이 아는 사람만 알게 넘어간 것 같아서 질문 드립니다..

1)

AbstractAuthenticaionProcesingFilter 해당 filter 에 attemptAuthentication 가 추상 메서드로 있는 상태에서

this.attemptAutehnticaion 했을 때 어떻게
UsernamPasswordAutenticationFilter에 구현 된 attemptAutentication이 실행 되는지

 

2)

UserNamePasswordAuthenticationFilter에서

return this.getAuthenticationManager().authenticate(authRequest); 
public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

impementation이 5개가 있는데 왜 ProviderManager 클래스로 넘어갈 수 있는 건가요?

 

3)

ProviderManager에서 해당 인증을 처리할 수 있는 Provider인 DaoAuthenticationProvider에서 createSuccessAuthenticaion까지 가는 과정을 알 수 있을까요?

 

 

 

답변 2

0

정수원님의 프로필 이미지
정수원
지식공유자

1,2번은 클래스와 객체에 대한 다형성이나 추상와 관련 된 부분이라 여기서 세세하게 답변드리기가 어려운점 양해 바랍니다

3번은 저의 강의에서 AuthenticationProvider 챕터를 학습하시면 전반적인 흐름을 알 수 있습니다

 

DaoAuthenticationProvider 도 내부적으로 다소 복잡한 면이 있어 지면으로 설명드리기가 어려운 점 이해 부탁드립니다

0

안녕하세요, 인프런 AI 인턴입니다.

  1. AbstractAuthenticationProcessingFilterattemptAuthentication 메서드가 추상 메서드로 정의되어 있을 때 this.attemptAuthentication을 호출하면 Java의 다형성(polymorphism) 원리에 따라 현재 객체의 실제 타입(UsernamePasswordAuthenticationFilter)에 오버라이드된 attemptAuthentication 메서드가 실행됩니다. 이는 UsernamePasswordAuthenticationFilterAbstractAuthenticationProcessingFilter를 상속받아 구체적인 로직을 구현하는 경우에 해당합니다.

  2. AuthenticationManager 인터페이스 구현체 중 5개가 있다고 하셨지만, UsernamePasswordAuthenticationFilter 에 의해서 ProviderManager로 넘어가는 것은 스프링 시큐리티 설정에서 주로 ProviderManagerAuthenticationManager의 구현으로 사용하기 때문입니다. ProviderManager는 여러 AuthenticationProvider를 관리할 수 있는 구현체로, authenticate 메서드 내에서 순차적으로 각 AuthenticationProvider를 호출하여 인증을 처리합니다.

  3. ProviderManager에서 DaoAuthenticationProvider에 의한 인증 처리 과정은 다음과 같습니다:

    • ProviderManager는 주입받은 여러 AuthenticationProvider 중에서 인증을 수행할 수 있는 적절한 AuthenticationProvider를 찾습니다.
    • DaoAuthenticationProvider는 주로 UserDetailsService를 사용하여 사용자 정보를 가져오고 비밀번호를 검증합니다.
    • 인증에 성공했을 경우 DaoAuthenticationProvidercreateSuccessAuthentication 메서드를 호출하여 성공적인 인증 결과를 생성합니다. 이 메서드는 사용자의 세부 정보 및 권한과 관련된 Authentication 객체를 생성하여 반환합니다.

이러한 자세한 과정을 이해하는 데 도움이 되는 참고자료가 있습니다. 스프링 부트와 스프링 시큐리티에 대한 문서를 참고하시면 보다 자세한 정보를 얻으실 수 있습니다.

님이 보다 깊이 있는 내용을 원하시면 위의 링크를 방문하시어 자세한 내용을 확인해 보시기 바랍니다.

송상근님의 프로필 이미지
송상근
질문자

2번에서 authenticaitonmanager의 구현체로 provider로 설정? 하는 부분이 있을까요?

송상근님의 프로필 이미지
송상근

작성한 질문수

질문하기