[Spring] Spring Security(스프링 시큐리티) Remember-Me 인증

 

 

🎀 Remember-Me 

세션이 만료되고 웹 브라우저가 종료된 후에도 애플리케이션이 사용자를 기억하는 기능이다.

 

➕ Remember-Me 쿠키에 대한 http요청을 확인한 후 토큰 기반 인증을 사용해 유효성을 검사하고 토큰이 검증되면 사용자는 로그인된다.

 

 

사용자 라이프 사이클

• 인증 성공 (Remember-Me 쿠키 설정)
• 인증 실패 (쿠키가 존재하면 쿠키 무효화)
• 로그아웃 (쿠키가 존재하면 쿠키 무효화)

 

 

• rememberMeParameter : 버튼 이름이랑 똑같이 해야 됨
• alwaysRemember(true) : 로그인할 때 리멤버 미 사용 안 해도 활성화되어있음
• userDetailsService는 필수

 

 

해당 설정을 하고 나서 서버를 실행시켜 보면 아래처럼 Remember me on this computer라는 문구와 함께 체크박스가 생성된다.

JSESSIONID가 없어도 Remember-Me 쿠키를 가지고 있으면 쿠키를 이용해서 JSSESIONID를 생성해서 로그인이 필요 없다.

 

 

 

Remember Me Filter

 

• RememberMeAuthenticationFilter : 인증 객체가 null일 경우 동작함 
  • SecurityContext에 인증 객체가 없는 경우 👉 세션이 만료되었거나 세션이 끊겨서
  • null이 아닌 경우는 이미 인증을 받은 것이기 때문에 filter가 동작하지 않음

 

🔁 현재 이 사용자는 세션이 만료되었지만 remember-me인증은 받은 상태이다.

• RememberMeService : 인터페이스. 아래 구현체는 각각 remember-me인증 처리를 하는 클래스임
  • TokenBasedRememberMeService : 메모리에서 실제로 토큰을 제작한 토큰과 사용자가 요청할 때 들고 온 쿠키 토큰을 비교해서 인증처리하게 됨 (기본적으로 14일)
  • PersistTokenBasedRememberMeService :  영구적인 방식, DB에 서비스 발급한 토큰을 제작하고 그 토큰을 가지고 온 클라이언트와 DB값과 비교해서 인증처리하게 됨
• Token Cookie 추출 : 리멤버 미인지 검증, 존재하면 그대로 진행하고 아니면 필터로 이동
• Decode Token : 맞다면 그대로 진행하고 아니면 예외

 

 

 

---

해당 글은 인프런의 스프링시큐리티-Spring Boot 기반으로 개발하는 Spring Security를 보고 작성한 글입니다.