참고 Spring Security 인증 흐름 이해하기

공통 사항 (세션 정책, 예외 처리 등)

세션 정책: sessionCreationPolicy(SessionCreationPolicy.ALWAYS)

→ 세션 기반 인증에서는 모든 요청에 세션 생성/유지

<aside>

※ 참고: formLogin().disable(), httpBasic().disable(), csrf().disable()은 본 프로젝트에서 커스텀 로그인 로직을 사용하기 위해 기본 제공 기능을 끈 설정이다.

</aside>
예외 처리:
- 인증 실패 → CustomAuthenticationEntryPoint (401 예외)
- 권한 부족 → CustomAccessDeniedHandler (403 예외)

<aside>

SecurityConfig 전체 코드

https://github.com/melly8954/auth-session/blob/main/src/main/java/com/melly/authsession/config/SecurityConfig.java

</aside>

세션 기반 로그인 흐름

일반 로그인

로그인 요청(/api/v1/auth/login)
서비스 계층(AuthServiceImpl )의 login() 호출
1. UsernamePasswordAuthenticationToken 을 인증 요청용 토큰 ****생성
```
// AuthServiceImpl.java
UsernamePasswordAuthenticationToken authToken = 
		new UsernamePasswordAuthenticationToken(dto.getUsername(), dto.getPassword());
```
- 사용자가 입력한 username/password를 담은 인증 요청 토큰
- 이 시점에서는 인증이 완료된 상태가 아니며, 단순 데이터 객체 역할 AuthenticationManager.authenticate() 호출
1. AuthenticationManager.authenticate() 호출
```
// AuthServiceImpl.java
Authentication authentication = authenticationManager.authenticate(authToken);
```
- AuthenticationManager가 호출되면 Spring Security 내부에서 등록된 AuthenticationProvider를 찾아 authenticate()를 호출
- 이때 CustomAuthenticationProvider.authenticate(authToken)가 실행
CustomAuthenticationProvider 에서 사용자 조회, 비밀번호 검증, 계정 상태 체크 수행 → 인증 성공 시 인증 완료 토큰 반환

<aside>

CustomAuthenticationProvider 전체 코드

https://github.com/melly8954/auth-session/blob/main/src/main/java/com/melly/authsession/common/auth/CustomAuthenticationProvider.java

</aside>
```
// CustomAuthenticationProvider.java
return new UsernamePasswordAuthenticationToken(principalDetails, null, authorities);
```
- 여기서 중요한 점:
  - 반환된 토큰의 principal: PrincipalDetails 객체 (사용자 정보)
  - 반환된 토큰의 credentials: null (보안상 비워둠)
  - 반환된 토큰의 authorities: 사용자 권한 정보
- 즉, CustomAuthenticationProvider가 반환하는 토큰은 이제 Spring Security에서 인증 완료된 객체를 의미함
SecurityContextHolder에 저장
```
// AuthServiceImpl.java
SecurityContextHolder.getContext().setAuthentication(authentication);
```
- authentication 변수는 이미 CustomAuthenticationProvider가 반환한 인증 완료 토큰 입니다.
- 즉, AuthServiceImpl에서는 반환된 토큰을 다시 사용하는 것이 아니라
  1. 인증 요청 토큰을 AuthenticationManager로 보내고,
  2. 인증 완료 토큰을 받아,
  3. SecurityContext에 저장하는 과정을 진행한다.
- 이 시점부터 현재 요청 스레드에서 SecurityContextHolder 로 인증된 사용자를 참조 가능
세션에 SecurityContext 저장
```
// AuthServiceImpl.java
HttpSession session = httpRequest.getSession(true);

session.setAttribute(
			HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,
			SecurityContextHolder.getContext()
);
```
- JSESSIONID 세션 생성 (없으면 새로 생성)
- 세션에 SecurityContext를 넣어줌 → 이후 동일 브라우저 요청에서는 쿠키에 담긴 JSESSIONID로 세션이 매핑됨
- Spring Security 필터체인(SecurityContextPersistenceFilter)이 요청 올 때마다 세션에서 SecurityContext를 꺼내서 SecurityContextHolder에 복원

텍스트 기반 시각화

[사용자] --- 로그인 요청 ---> [AuthController.login()]
                                      |
                                      v
                           [AuthServiceImpl.login()]
                                      |
                                      v
                    [AuthenticationManager.authenticate()]
                                      |
                                      v
                        [CustomAuthenticationProvider]
	                (사용자 조회 → 비밀번호 검증 → 권한 세팅)
                                      |
                                      v
	                       [Authentication 객체 반환]
                                      |
                                      v
                 SecurityContextHolder.setAuthentication(auth)
                                      |
                                      v
            HttpSession.setAttribute(SPRING_SECURITY_CONTEXT_KEY, auth)
                                      |
                                      v
                      [사용자에게 JSESSIONID 쿠키 전달]

OAuth2 로그인

OAuth2 로그인 요청(/oauth2/authorization/{provider})
- Spring Security가 OAuth2 인증 요청을 OAuth2 Authorization Server로 리다이렉트
  - 사용자에게 로그인/권한 허용 화면 제공
OAuth2 인증 서버에서 인증
- 사용자가 OAuth2 제공자(구글, 카카오 등)에 로그인 → 애플리케이션 접근 허용 승인
- 인증 서버가 Authorization Code를 발급하여 리다이렉트 URI로 전달