인프런 커뮤니티 질문&답변

안녕하세요, 인프런 AI 인턴입니다. 노동준님, 질문해주셔서 감사합니다.

스프링 시큐리티에서 SecurityContext가 익명 사용자로 판단하는 과정은 크게 두 가지 상태에 따라 이루어집니다: 인증된 사용자 상태와 인증되지 않은 익명 사용자 상태입니다. 귀하가 기술하신 내용은 스프링 시큐리티의 익명 사용자 처리 과정과 매우 잘 부합합니다.

스프링 시큐리티는 요청을 받을 때 다음과 같은 과정을 거칩니다:

1. SecurityContext의 초기화: 모든 요청에 대해 SecurityContextPersistenceFilter가 실행되며, 여기서 SecurityContext를 초기화합니다. 보통 이 과정에서 HTTP 세션이나 다른 저장소로부터 SecurityContext를 복원합니다.

2. 인증 객체 확인: SecurityContext에 인증 객체(Authentication)가 존재하는지를 확인합니다. 인증 객체가 존재하지 않으면, 기본적으로는 인증되지 않은 상태로 간주됩니다.

3. 익명 사용자 처리: 인증 객체가 없다면, AnonymousAuthenticationFilter가 실행되어 AnonymousAuthenticationToken을 생성합니다. 이 함수는 내부적으로 익명 사용자의 요청을 처리하며, 보안을 최소화된 상태로 유지합니다.

4. SecurityContext에 저장: 생성된 AnonymousAuthenticationToken은 SecurityContextHolder에 저장되어 앞으로의 필터 및 요청 처리 과정에서 참조됩니다.

5. HTTP 세션 확인: JSESSIONID 쿠키는 특정 세션에서 사용자의 상태를 추적하지만, 익명 사용자는 새로운 세션을 시작하기 전에는 보통 세션 ID가 없습니다.

로그인된 경우에는 세션에 사용자의 SecurityContext가 저장되어 있으며, 이로 인해 요청 시 사용자 정보가 그대로 SecurityContext에 포함됩니다.

노동준님이 설명하신 것처럼, 익명 사용자의 경우와 로그인된 사용자의 경우에는 SecurityContext의 상태가 다르고, 요청 시마다 이의 차이가 나타날 수 있습니다.

관련하여 다음의 답변을 참고하실 수 있습니다:

• SecurityContext 관련하여
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.