인프런 커뮤니티 질문&답변

토끼개살님의 프로필 이미지
토끼개살

작성한 질문수

스프링 시큐리티

4) 인증 저장소 - SecurityContextHolder, SecurityContext

그럼 SecurityContext가 저장되는 곳은 총 3곳인건가요?

작성

·

868

4

처음에 Authentication객체를 SecurityContext에 담아서 보관한다는것 까지능 이해했습니다. 그럼

SecurityContext가 저장되는 곳이

1. ThreadLocal

2. HttpSession

3. SecurityContextHolder

총 3개의 공간에 저장되는 건가요? 그리고 이 공간은 각각 독립된 공간인건가요? 아니면  ThreadLocal안에 SecurityContextHolder가 포함되고 HttpSession은 따로 저장되는 구조인건가요? 궁금합니다.

답변 1

9

정수원님의 프로필 이미지
정수원
지식공유자

네 

인증이 된 후 Authentication 이 저장되는 곳은 SecurityContext 입니다.

그리고 SecurityContext 가 저장되는 곳이 ThreadLocal 이고 이 역할을 하는 클래스가 SecurityContextHolder 클래스입니다.

그래서 SecurityContextHolder 는 SecurityContext 를 감싸고 있는 클래스이지 저장한다는 개념은 아닙니다.

그리고 HttpSession 은 인증 후 결과 정보가 있는 SecurityContext 를 담아놓고 사용자가 계속 인증을 유지하기 위한 목적으로 사용되고 있지만  SecurityContextHolder 가 HttpSession 에서 SecurityContext 를 꺼내어 다시 ThreadLocal 에 저장하고 있습니다.

그래서 어디에서나 Authentication 을 참조할 수 있도록

SecurityContextHolder.getContext().getAuthentication() 와 같은 구문을 사용할 수 있게 됩니다.

요약하자면

SecurityContext 가 최종 저장되는 곳은 ThreadLocal 이라고 보시면 됩니다.
다만 HttpSession 이 인증에 성공할 경우에 SecurityContext 를 저장하는 것은 맞지만 스프링 시큐리티가 결국은 SecurityContextHolder 를 사용해서 HttpSession 에서 SecurityContext  를 꺼내어 ThreadLocal 에 다시 저장하고 있기 때문에 HttpSession 이 ThreadLocal 과 비슷한 역할을 한다고 볼 수는 없을 것 같습니다.

정확한 답변이 되었는지 모르겠습니다.^^

토끼개살님의 프로필 이미지
토끼개살

작성한 질문수

질문하기