Spring Security에서 인증(Authentication)과 인가(Authorization)의 차이는 무엇인가요? #31

dnjs0 · 2025-05-02T15:48:21Z

dnjs0
May 2, 2025
Collaborator

❓

dnjs0 · 2025-05-02T15:57:00Z

dnjs0
May 2, 2025
Collaborator Author

✅ Spring Security - 인증(Authentication) vs 인가(Authorization)

Spring Security의 핵심 개념인 인증과 인가는 보안 설정의 뼈대입니다.
헷갈리기 쉬운 두 개념을 아래에 비유, 예시, 코드와 함께 자세히 정리해봤습니당

🔍 개념 정의

구분	의미	질문에 빗대면
인증 (Authentication)	“너 누구냐?” → 사용자가 누구인지 확인하는 과정	"이 요청을 보낸 사람이 진짜 로그인한 사용자야?"
인가 (Authorization)	“너 이거 해도 돼?” → 사용자가 특정 리소스에 접근할 권한이 있는지 확인하는 과정	"이 사용자가 관리자 페이지에 접근해도 돼?"

🧠 비유로 이해하기

📛 인증 = 신분증 검사

회사 입구에서 "입사증(ID 카드)" 확인
“이 사람 진짜 우리 회사 직원인가?”

🛂 인가 = 출입 제한 구역 검사

입사증 확인 후에도
- 일반 직원 → 1층
- 개발자 → 서버실(2층)
- 관리자 → 전체 층 출입 가능

🔧 Spring Security에서

🔐 인증 (Authentication)

사용자의 로그인 여부 확인
성공 시 Authentication 객체가 생성되어 SecurityContext에 저장

Authentication auth = SecurityContextHolder.getContext().getAuthentication();
String username = auth.getName();  // 로그인한 사용자 이름

🔑 인가 (Authorization)

로그인한 사용자의 접근 권한 확인
URL별로 hasRole(), authenticated() 등으로 제어

  http
  .authorizeHttpRequests()
    .requestMatchers("/admin/**").hasRole("ADMIN")
    .requestMatchers("/user/**").authenticated()
    .anyRequest().permitAll();

🧩 실제 흐름 예시

사용자가 /admin 페이지 요청
Security Filter가 요청을 가로챔
로그인하지 않은 경우 → 로그인 페이지로 리디렉션
로그인 성공 시 Authentication 객체 생성
이후 요청 시 해당 객체를 참조해 hasRole("ADMIN") 같은 조건을 평가

🔄 정리 비교표

항목	인증 (Authentication)	인가 (Authorization)
목적	누구인지 확인	무엇을 할 수 있는지 확인
시점	로그인할 때	로그인 후 접근할 때
기술 요소	로그인 폼, 세션, 쿠키, 토큰 등	URL 접근 제한, 권한 체크 등
관련 메서드	`formLogin()`, `UserDetailsService`	`authorizeHttpRequests()`, `hasRole()` 등

🗣️ 면접용 요약 멘트

인증은 사용자의 신원을 확인하는 과정이고,
인가는 인증된 사용자가 어떤 리소스에 접근 가능한지를 판단하는 과정입니다.
Spring Security에서는 로그인 성공 시 Authentication 객체를 SecurityContext에 저장하고,
이후 인가는 authorizeHttpRequests() 설정을 통해 Role을 기준으로 접근을 제어합니다.

0 replies

jern2 · 2025-05-02T15:59:49Z

jern2
May 2, 2025
Collaborator

Authentication은 사용자의 신원을 확인하는 과정이고, Authorization은 인증된 사용자가 어떤 리소스에 접근할 수 있는지를 판단하는 권한 부여 과정입니다.
예를 들어 로그인 시 아이디와 비밀번호를 확인하는 것이 인증이고, 로그인한 사용자가 관리자 페이지에 접근 가능한지를 확인하는 것이 인가입니다.
Spring Security에서는 이 두 과정을 필터 체인 안에서 단계적으로 처리합니다.

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Spring Security에서 인증(Authentication)과 인가(Authorization)의 차이는 무엇인가요? #31

Uh oh!

{{title}}

Uh oh!

Replies: 2 comments

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Uh oh!

{{title}}

Uh oh!

Select a reply

Uh oh!

Spring Security에서 인증(Authentication)과 인가(Authorization)의 차이는 무엇인가요? #31

Uh oh!

dnjs0 May 2, 2025 Collaborator

Replies: 2 comments

Uh oh!

Uh oh!

dnjs0 May 2, 2025 Collaborator Author

✅ Spring Security - 인증(Authentication) vs 인가(Authorization)

🔍 개념 정의

🧠 비유로 이해하기

📛 인증 = 신분증 검사

🛂 인가 = 출입 제한 구역 검사

🔧 Spring Security에서

🔐 인증 (Authentication)

🔑 인가 (Authorization)

🧩 실제 흐름 예시

🔄 정리 비교표

🗣️ 면접용 요약 멘트

Uh oh!

jern2 May 2, 2025 Collaborator

dnjs0
May 2, 2025
Collaborator

dnjs0
May 2, 2025
Collaborator Author

jern2
May 2, 2025
Collaborator