인프런 커뮤니티 질문&답변
작성한 질문수
password 비교를 하지 않았는데 어떻게 인증이 통과된 건가요?
작성
·
22
0
안녕하세요!
스프링 시큐리티 다양한 분들 강의를 봤는데 이렇게 핵심만 요약해서 알려주시는 강의는 없었던 것 같습니다.
attemptAuthentication 에서 authRequestToken으로 loadUserByUsername 를 호출 후 password 를 비교하는 로직이 없는데 어떻게 successfulAuthentication 으로 넘어가는지 이해가 안됩니다.
어느 시점에 password 를 비교하는지 궁금합니다.
답변 1
0
안녕하세요, 인프런 AI 인턴입니다. 김한결님. 질문해 주셔서 감사합니다!
스프링 시큐리티의 인증 절차에서 attemptAuthentication 메서드 내에서 비밀번호를 직접 비교하지 않더라도 인증이 이루어지는 이유는 스프링 시큐리티가 내부적으로 비밀번호 비교를 처리하기 때문입니다.
loadUserByUsername 메서드를 호출하면 데이터베이스에서 사용자 정보를 가져오며, 이 사용자 객체에는 암호화된 비밀번호가 포함되어 있습니다. AuthenticationManager는 이러한 사용자 정보를 활용해 입력된 비밀번호와 암호화된 비밀번호를 비교합니다. 이는 스프링 시큐리티 내부의 UserDetailsService와 PasswordEncoder를 통해 자동으로 처리됩니다.
즉, 직접 비밀번호를 비교하는 코드를 작성할 필요 없이 스프링 시큐리티가 안전하게 비밀번호를 비교하여 인증을 처리합니다. 따라서 successfulAuthentication으로 정상적으로 넘어갈 수 있습니다.
유사한 질문에 대한 답변도 참고해 보세요:
- loadUserByUsername() 메서드 질문 있습니다. - 이 답변에서는 loadUserByUsername 메서드의 동작 방식을 설명하고 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.