21.05.09 21:30 작성
·
854
4
처음에 Authentication객체를 SecurityContext에 담아서 보관한다는것 까지능 이해했습니다. 그럼
SecurityContext가 저장되는 곳이
1. ThreadLocal
2. HttpSession
3. SecurityContextHolder
총 3개의 공간에 저장되는 건가요? 그리고 이 공간은 각각 독립된 공간인건가요? 아니면 ThreadLocal안에 SecurityContextHolder가 포함되고 HttpSession은 따로 저장되는 구조인건가요? 궁금합니다.
답변 1
9
2021. 05. 09. 21:56
네
인증이 된 후 Authentication 이 저장되는 곳은 SecurityContext 입니다.
그리고 SecurityContext 가 저장되는 곳이 ThreadLocal 이고 이 역할을 하는 클래스가 SecurityContextHolder 클래스입니다.
그래서 SecurityContextHolder 는 SecurityContext 를 감싸고 있는 클래스이지 저장한다는 개념은 아닙니다.
그리고 HttpSession 은 인증 후 결과 정보가 있는 SecurityContext 를 담아놓고 사용자가 계속 인증을 유지하기 위한 목적으로 사용되고 있지만 SecurityContextHolder 가 HttpSession 에서 SecurityContext 를 꺼내어 다시 ThreadLocal 에 저장하고 있습니다.
그래서 어디에서나 Authentication 을 참조할 수 있도록
SecurityContextHolder.getContext().getAuthentication() 와 같은 구문을 사용할 수 있게 됩니다.
요약하자면
SecurityContext 가 최종 저장되는 곳은 ThreadLocal 이라고 보시면 됩니다.
다만 HttpSession 이 인증에 성공할 경우에 SecurityContext 를 저장하는 것은 맞지만 스프링 시큐리티가 결국은 SecurityContextHolder 를 사용해서 HttpSession 에서 SecurityContext 를 꺼내어 ThreadLocal 에 다시 저장하고 있기 때문에 HttpSession 이 ThreadLocal 과 비슷한 역할을 한다고 볼 수는 없을 것 같습니다.
정확한 답변이 되었는지 모르겠습니다.^^