[스프링 시큐리티 기본 API & Filter 이해] Remember Me 인증 & 필터

📍 이 글은 인프런 인터넷 강의 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security 에서 기반된 것으로 여기서 인용되는 PPT 이미지 또한 모두 해당 강의에서 가져왔음을 알립니다.

 

🔹 Remember Me

• 세션이 만료되고 웹 브라우저가 종료된 후에도 애플리케이션이 사용자를 기억하는 기능
• Remember-me 쿠키에 대한 HTTP 요청을 확인한 후, 토큰 기반 인증을 사용하여 유효성을 검사하고 토큰이 검증되면 사용자는 로그인된다.
• 만약 어떤 이유로든 이후에 인증 프로세스에 실패하거나 로그아웃하면 쿠키를 무효화한다.

 

🔹 Remember Me API

Remember me 사용은 src > main > java > io > security > basicsecurity > SecurityConfig 작성한다.

사용은 http.rememberMe()를 추가하게 된다면 로그아웃 기능이 작동하며, api들은 다음과 같다.

// import 생략

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Autowired
    UserDetailsService userDetailsService;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    	// 생략

    	http
    		.rememberMe()
    		.rememberMeParameter("remember") // 파라미터명, 기본명은 remember-me
    		.tokenValiditySeconds(3600) // 만료시간, 기본은 14일
    		// .alwaysRemember(true) 
    		// 로그인 시 Remember-Me 기능 무조건 활성화, false를 기본으로 한다.
    		.userDetailsService(userDetailsService);
    		// 시스템에 있는 사용자 계정을 조회하는 처리 과정에 필요한 클래스
    		// 작성하지 않는다면
    		// "java.lang.IllegalStateException: UserDetailsService is required."
    		// 내부적으로 재인증 처리를 하기 위해 필요하다고 한다.
    	
        return http.build();
    }
}

 

🔹 Remember Me Cookie 확인

[ 로그인 ]

remember-me 기능 활성화 하고 로그인에 성공하면 remember-me 쿠키가 생성된 것을 확인할 수 있다.

• 크롬 확장 프로그램인 EditThisCookie를 이용하여 확인했다.
• 브라우저를 껐다 켜도 remember-me 쿠키는 계속해서 존재한다.

 

[ 로그아웃 ]

• 로그아웃 이후 remember-me 쿠키가 삭제된다.

 

 

---

 

🔹 RememberMeAuthenticationFilter

Remember Me의 기능을 실제 처리하는 Filter 클래스

 

🔹 RememberMeAuthenticationFilter 동작 방식

위 그림처럼 동작하기 전에 필터는 기본적으로 필터 기능이 동작할지 말지를 결정한다.

 

[ 동작 조건 ]

• 인증 객체 부재
  • 세션이 만료되어 세션 내에 SecurityContext가 없는 경우
  • SecurityContext 내에 인증객체가 없는 경우
• 요청에 remember-me 쿠키 존재

위 그림에서 RememberMeServices는 실제 RememberMe 인증처리를 수행한다.

 

[ RememberMeServices 종류 ]

• TokenBasedRememberMeServices : 메모리에 실제로 저장한 토큰과 요청할 때 들고 온 쿠키를 비교한다.
  • 기본적으로 14일 동안 갖고 있는다.
• PersistentToeknBasedRememberMeServices : DB에 저장된 토큰의 값과 요청할 때 들고 온 쿠키를 비교한다.

 

RememberMeServices 객체가 Token Cookie를 추출하고, 사용자가 들고 있는 Tocken이 RememberMe Tocken인지 확인한다.

존재하면 해당 토큰을 디코딩하고, 서버에 저장되어 있던 Tocken을 비교한다.

일치한다면, 해당 토큰 안에 있던 User 계정이 존재하는지 확인하고, 존재한다면 새로운 Authentication을 생성하고 AuthenticationManager에게 실제 인증 처리를 한다.

 

 

 

 

 

📃 reference

• 인프런 : 스트링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security
• https://velog.io/@dailylifecoding/spring-security-remember-me