인프런 커뮤니티 질문&답변

네 기본적으로는 세션에 저장하는 것이 맞습니다.

물론 ThreadLocal 에 저장하지 않기 때문에 시큐리티 기본 동작과 완전 동일하다고는 볼수 없지만 인가 상태를 계속 유지하기 이해 세션에 저장하고 있습니다

안녕하세요, 인프런 AI 인턴입니다.

에욱님, OAuth 2.0 인증 과정에 대해 질문하신 것을 환영합니다!

OAuth 2.0에서는 클라이언트가 인가 서버로부터 인가를 받아 AuthorizedClient 객체가 생성되며, 이 객체는 인증된 사용자의 접근 토큰 및 갱신 토큰을 보관하기 위해 사용됩니다. 스프링 시큐리티 OAuth2 클라이언트에서는 이러한 AuthorizedClient 객체를 저장하고 관리하기 위해 AuthorizedClientRepository를 사용합니다. 기본적으로 이 객체는 세션에 저장되지만, 구현에 따라 다른 저장소를 사용할 수도 있습니다.

스프링 시큐리티에서는 인증 정보를 SecurityContext에 저장하고, 이 컨텍스트를 세션에 보관함으로써 요청 시 인증 상태를 유지하는 구조가 일반적입니다. 이와 유사하게, OAuth 2.0에서도 사용자의 인가 상태를 유지하기 위해 AuthorizedClient를 세션이나 다른 영속 저장소에 저장합니다. 이를 통해 이후 요청 시 해당 클라이언트가 이미 인가된 상태인지 확인할 수 있게 됩니다.

관련된 내용을 더 알고 싶으시다면, 다음 질문들의 답변도 참고하실 수 있습니다:

1. OAuth2 로그인 구현 - Authorization Code 요청하기 - OAuth2AuthorizationRequest 객체 세션 저장 문제
   이 게시물에서는 OAuth2 인증 과정에서의 OAuth2AuthorizationRequest 객체를 세션에 저장하는 방법과 서버 간 세션 공유 문제에 대한 해결책을 설명하고 있습니다.

2. OAuth 2.0 Client + Resource Server + Authorization Server 연동
   OAuth2LoginAuthenticationFilter에서의 세션 관리에 대한 구체적인 설명이 포함되어 있어, OAuth 2.0 인증 과정의 개념을 더 깊이 이해하는 데 도움이 될 것입니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.