다음강의는뭐에요?

현재 제작 중인 강의는 스프링 웹 MVC 입니다.기본을 넘어서 제대로 스프링 웹 MVC 를 파헤쳐 볼 생각입니다동시성 다음 강의는 리액티브 프로그래밍으로 넘어갈 예정입니다.다만 기술 난이도가 높은 만큼 충분한 검증과 테스트가 동반되어야 해서 시간은 좀 걸릴듯 합니다

강의 수강신청하고 듣기 전입니다 질문있습니다.

본 강의에는 sso 관련 내용은 포함되어 있지 않습니다그리고 sso 는 학습주제에서 많이 벗어나 있고 구현은 가능하겠으나 구현 방식자체가 간단치가 않아서 여기서 답변 드리기가 어려운점 이해 부탁드립니다다만 본 강의를 충분하게 숙지하시고 sso 관련 내용을 학습하신다면 어떤 식으로 풀어나가야 할지 해법들을 찾아갈 수 있으리라 생각합니다

인증성공 후 로직 질문입니다.

네 그렇게 이해하시면 됩니다.인증과정은 시큐리티 기본 과정과 동일합니다.OAuth2 는 사용자의 인증 과정이 필수이므로 시큐리티 기본 동작이 우선되어야 합니다.

인증처리에서 SecurityContext 질문입니다.

네 기본적으로는 세션에 저장해 줍니다.이 역할을 하는 클래스가 HttpSessionSecurityContextRepository 입니다.요청처리 후 응답 직전에 시큐리티가 항상 해주고 있습니다.

클라이언트 인가 후 저장 질문

네 기본적으로는 세션에 저장하는 것이 맞습니다.물론 ThreadLocal 에 저장하지 않기 때문에 시큐리티 기본 동작과 완전 동일하다고는 볼수 없지만 인가 상태를 계속 유지하기 이해 세션에 저장하고 있습니다

인증과정 질문입니다.

네 그건 서로 다른 기능을 수행하기 때문입니다OAuth2Login 은 사용자의 인증까지 한번에 완료하기 위한 기능이고 ResouceServer 는 jwt 토큰을 검증하기 위한 목적입니다. 이건 사용자 인증과는 아무런 관련이 없습니다.

자체로그인 구현시 질문입니다.

네 모두 필요한 것은 맞습니다.다만 시스템 환경이나 상황마다 다 필요할 수도 있고 그렇지 않을 수도 있습니다.그리고 react 와 같은 기술로 할 경우에는 3가지 모두에 대한 충분한 이해를 필요로 합니다.기본적으로 시큐리티는 모바일이나 비동기가 아닌 HTML 페이지 기준으로 최적화 되어 있기 때문입니다.그래서 상황에 따라 여러가지 커스텀한 구현이 필요할 수 있는데 프레임워크에 대한 전반적인 원리를 확실하게 이해하지 못하면 커스텀한 구현이 어려울 수 있습니다.

resouce server 질문

네 핵심을 잘 이해하신 것 같습니다.사실 리소스 서버라는 이름으로 제공하는 라이브러리이기 때문에 약간 혼동이 생길 수 있는데 인가서버에서 accessToken 이 들어오게 되면 이 토큰에 대한 검증을 해야 합니다.물론 인가서버 자체적으로 토큰을 검증할 수 있는 기능을 포함하고 있다면 가능하겠으나 시큐리티는 그 역할을 리소스 서버쪽에 할당했다고 보시면 됩니다.그리고 인가서버는 토큰발급이 주 목적이긴 합니다.

Resouce owner 인증 전 단계 질문입니다.

인가서버에도 신원을 확인할 수 있도록 별도의 보안 설정을 하게 됩니다.거기에서 UsernamePasswordAuthenticationFilter 를 사용해서 인증을 진행하게 됩니다.강의를 보시면 SecurtiyConfig 와 같은 클래스가 있는데 거기서 인증을 위한 설정들을 하고 있습니다.

인증을 세션이 아닌 jwt로 할 경우 질문입니다.

기본적으로 스프링 시큐리티는 세션을 기반으로 코드가 작성되어 있습니다.세션 대신 jwt 토큰을 활용할 경우에는 OAuth2 프레임워크를 그대로 사용하기가 어려울 수 있습니다.즉 커스텀한 필터나 클래스를 직접 구현해야 합니다.이 부분은 여러 설계적 관점에서 고민해서 구현해야 하는 부분이고 최대한 시큐리티에서 벗어나지 않고 동작할 수 있도록 구현해야 할 것 같습니다.