jwt 토큰 security에 관하여...

네.. 일반적으로 스프링 시큐리티가 세션을 기반으로 하기 때문에 굳이 무상태에서는 필요하지 않다라고 보실 수 도 있습니다. 이것은 '스프링 Web Security'의 기능만이 널리 강조되어서라고 생각합니다.

예를 들어 https://docs.spring.io/spring-security/site/docs/current/api/org/springframework/security/authentication/AuthenticationProvider.html 를 보면 스프링 시큐리티가 얼마나 다양한 방식의 인증을 처리할 수 있는지를 보여주는데요.. 이런 이유는 스프링 시큐리티가 원래 웹 뿐이 아니라 다양한 통신과정에서 사용되기 위해서 설계되었기 때문이라고 생각합니다(예를 들어 조직별 상세한 접근 제한을 구현한다면 너무 끔찍하지만 시큐리티는 지원합니다.). 다만 책의 예제의 경우 OAuth2와 같은 표준 방식이 아닌지라.. 스프링 시큐리티의 기능대신 직접 구현하는 부분이 많긴 합니다.

두번째 질문은 말씀하신대로 username과 패스워드가 맞다면 인증에는 성공하겠지만, 세션 유지와는 무관합니다. 세션 정책은 Web Application이나 WAS의 정책을 따라서 동작하기 때문입니다.

JWT는 말씀하신대로 정말 알 수 없는 미지의 상대와 통신할 때 사용하기 위한 방식인 만큼 세션과 같이 병행되는 경우는 거의 없다고 봐야하지 않을까요?(개인적으로 한번도 그런 요구를 받아 본 적은 없습니다.) 다양한 디바이스와 기술로 통신하기 위한 수단이라.. 모바일 앱이 세션을 유지하는 건 이상하죠..

마지막 질문은 확장의 가능성이라고 말씀드리고 싶습니다. 예를 들어 AuthentiactionProvider만을 구현해서 추가하면 자신이 원하는 방식의 인증 체계를 구현할 수도 있죠..

스프링 시큐리티를 곰곰히 생각해 보시면 생각보다 인터페이스를 구현해야 하는 일이 많다는 것을 아시게 됩니다. 이것은 스프링 MVC와는 좀 반대 방향인데요(점점 많은 것을 Annotation만으로 처리하니까요.). 이렇게 되는 이유는 시큐리티가 이미 다양한 인증 방식을 지원하는 루트를 만들어 두었고, 개발자들이 그에 맞는 구현을 추가하기만 하면 되는 방식이라는 것을 의미합니다.

장황하게 적기는 했는데요.. 'JWT만 쓸거고 무상태만 한다'고 가정했을 때 '스프링 시큐리티'가 필수인가? 라고 물어보신다면.. '아니요'라고 말씀드리는게 맞긴 합니다. 하지만 그렇게 보면 '서블릿'을 이용해서 구현할 수도 있는데 스프링 MVC를 굳이 쓸 이유가 없는거와 좀 비슷하지 않을까요?