Spring Security / / 2024. 10. 29. 10:32

SecurityContext, SecurityContextHolder, 스레드 처리 방식

**SecurityContext**와 **SecurityContextHolder**는 Spring Security의 인증 및 권한 관리에서 중요한 두 가지 개념입니다. 이들은 Spring Security에서 사용자 인증 정보를 유지하고 관리하는 역할을 하며, 애플리케이션의 요청 처리 과정에서 인증된 사용자의 정보를 필요로 하는 곳에 제공합니다.

 

SecurityContext, SecurityContextHolder 구조(출처 - https://docs.spring.io/spring-security/reference/servlet/authentication/architecture.html)

 

1. SecurityContext

 

**SecurityContext**는 Spring Security에서 현재 인증된 사용자 정보를 저장하고 관리하는 인터페이스입니다. 인증된 사용자의 정보를 저장하여 애플리케이션의 어느 부분에서든 인증 상태를 참조할 수 있게 합니다.

 

주요 역할

 

현재 인증된 사용자 정보 유지: 사용자가 인증을 완료하면 SecurityContext는 인증된 사용자 정보를 Authentication 객체로 저장합니다.

권한 관리: SecurityContext에 저장된 사용자 정보에는 사용자의 권한 정보가 포함되어 있어, 요청이 발생할 때 권한에 따라 리소스 접근 여부를 판단할 수 있습니다.

 

SecurityContext의 구조

 

SecurityContext 객체는 보통 Authentication 객체를 포함하며, 이 Authentication 객체가 인증된 사용자 정보, 사용자 권한 등을 관리합니다.

Authentication: Spring Security의 핵심 인터페이스로, 사용자의 인증 상태인증된 사용자 정보를 나타냅니다.

getPrincipal(): 인증된 사용자 정보 (보통 UserDetails 타입)를 반환합니다.

getAuthorities(): 사용자의 권한 목록을 반환하여, 접근 제어에 활용됩니다.

isAuthenticated(): 사용자가 인증된 상태인지 여부를 반환합니다.

 

SecurityContext 예시

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

public class ExampleService {

    public void printAuthenticatedUserInfo() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        if (authentication != null && authentication.isAuthenticated()) {
            System.out.println("Authenticated user: " + authentication.getName());
            System.out.println("User authorities: " + authentication.getAuthorities());
        }
    }
}

 

이 예시에서 SecurityContextHolder.getContext()를 통해 SecurityContext를 가져와, 현재 인증된 사용자의 정보와 권한을 확인할 수 있습니다.

 

2. SecurityContextHolder

 

**SecurityContextHolder**는 현재 스레드에 SecurityContext를 저장하고 관리하는 클래스입니다. Spring Security는 SecurityContextHolder를 통해 인증 정보를 안전하게 보관하고 요청 시마다 이 정보를 참조합니다.

 

SecurityContextHolder의 역할

 

SecurityContext를 관리: SecurityContextHolderSecurityContext 객체를 생성, 저장 및 공유합니다. 모든 요청에 대해 인증 정보를 관리하고, 이를 다른 컴포넌트에서 접근할 수 있도록 합니다.

스레드와 SecurityContext 연결: 기본적으로 SecurityContextHolder스레드 로컬(ThreadLocal) 방식을 사용하여, 각 요청마다 고유한 SecurityContext를 유지합니다.

각 요청마다 SecurityContext가 스레드에 저장되므로, 여러 요청이 동시에 발생해도 각 요청의 SecurityContext가 독립적으로 관리됩니다.

 

SecurityContextHolder의 작동 방식

 

ThreadLocal 방식: Spring Security는 기본적으로 ThreadLocal을 통해 SecurityContext를 관리합니다. 이는 각 스레드마다 SecurityContext를 독립적으로 저장하는 방식으로, 웹 요청이 종료되면 SecurityContextHolder는 해당 요청의 SecurityContext를 제거합니다.

전역(모드) 설정: SecurityContextHolder는 모드에 따라 ThreadLocal, InheritableThreadLocal, 또는 사용자 정의 전략을 선택할 수 있습니다.

MODE_THREADLOCAL(기본 모드): ThreadLocal을 사용하여 각 요청마다 고유의 SecurityContext를 보관합니다.

MODE_INHERITABLETHREADLOCAL: 부모 스레드의 SecurityContext를 자식 스레드로 전달할 수 있습니다. 일반적인 웹 애플리케이션에서는 잘 사용되지 않습니다.

MODE_GLOBAL: 애플리케이션 전체에서 하나의 SecurityContext를 공유합니다. 테스트나 특수한 상황에만 사용됩니다.

 

SecurityContextHolder의 설정 변경 예시

import org.springframework.security.core.context.SecurityContextHolder;

public class SecurityConfig {

    public void configureSecurityContextHolder() {
        // MODE_INHERITABLETHREADLOCAL 설정
        SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
    }
}

 

SecurityContext와 SecurityContextHolder의 상호작용

 

Spring Security에서 **SecurityContext**와 **SecurityContextHolder**는 인증된 사용자 정보를 요청과 연계하는 방식으로 상호작용합니다.

 

1. 인증 과정에서 SecurityContextHolder 설정:

사용자가 로그인하면, AuthenticationManager는 사용자의 자격 증명을 확인한 후 Authentication 객체를 생성합니다.

Authentication 객체는 SecurityContext에 저장되고, SecurityContextHolder를 통해 관리됩니다.

이후 모든 요청에서 SecurityContextHolder를 통해 인증된 사용자의 정보를 참조할 수 있습니다.

2. 요청 중 SecurityContextHolder 참조:

애플리케이션의 비즈니스 로직이 실행되는 동안, 필요할 때 SecurityContextHolder를 통해 현재 요청의 SecurityContext를 가져올 수 있습니다.

이를 통해 인증된 사용자 정보와 권한을 확인하고, 필요한 작업을 수행할 수 있습니다.

3. 요청 종료 시 SecurityContext 정리:

웹 요청이 종료되면 SecurityContextPersistenceFilterSecurityContext를 정리하고, SecurityContextHolder의 값을 제거하여 메모리 누수를 방지합니다.

이러한 정리 작업은 요청마다 SecurityContext가 고유하게 유지되도록 보장합니다.

 

요약

 

1. SecurityContext:

현재 인증된 사용자의 정보를 저장하는 컨테이너로, Authentication 객체를 포함합니다.

인증 정보는 사용자가 인증을 완료한 후 저장되며, 요청이 끝날 때까지 참조됩니다.

2. SecurityContextHolder:

SecurityContext를 관리하는 싱글톤 클래스입니다.

ThreadLocal을 통해 각 요청마다 고유한 SecurityContext를 관리하며, 다른 요청과의 독립성을 유지합니다.

Spring Security의 다른 컴포넌트들이 SecurityContext에 접근할 수 있도록 중앙에서 관리 역할을 수행합니다.

 

결론적으로, SecurityContextSecurityContextHolder는 Spring Security의 인증 상태를 요청마다 안전하게 관리하고, 요청 중에 인증된 사용자 정보에 접근할 수 있도록 도와줍니다.


HTTP 요청과 스레드 처리 방식

 

1. 스레드 풀(Thread Pool):

서버는 미리 설정된 수의 스레드를 가진 스레드 풀을 유지합니다. 이 스레드 풀에서 빈 스레드를 할당하여 HTTP 요청을 처리합니다.

요청이 완료되면 스레드는 스레드 풀로 돌아가고, 다음 요청에서 다시 사용될 수 있습니다.

스레드 풀을 사용함으로써 서버는 매번 스레드를 생성하거나 소멸시키지 않고도 많은 요청을 효과적으로 처리할 수 있습니다.

2. 멀티 스레드 방식:

각 HTTP 요청은 스레드 풀에서 할당된 개별 스레드에서 처리됩니다. 따라서 다중 요청을 병렬로 처리할 수 있습니다.

스레드 풀 크기를 초과하는 요청이 들어올 경우, 대기 큐에 요청을 저장했다가 스레드가 비면 처리하게 됩니다.

3. 스레드 관리의 예 (Spring과 Tomcat):

Spring Boot가 내장 Tomcat을 사용하여 웹 애플리케이션을 실행하는 경우, Tomcat의 기본 설정으로 스레드 풀이 구성됩니다.

예를 들어, 기본적으로 Tomcat은 최대 200개의 요청을 동시에 처리할 수 있도록 설정되어 있습니다(maxThreads 속성으로 조정 가능).

Spring WebFlux와 같은 비동기 처리 방식을 사용하면 스레드 하나가 여러 요청을 처리할 수 있는 방식으로 작동하여 자원 사용 효율을 높일 수 있습니다.

 

요약

 

HTTP 요청 하나가 스레드 하나에 할당되기는 하지만, 요청마다 새로운 스레드를 생성하는 것이 아니라 스레드 풀에서 할당받아 처리됩니다.

서버는 요청 수와 부하에 맞게 스레드 풀 크기를 조정하여 최적의 성능을 유지하도록 구성할 수 있습니다.

'Spring Security' 카테고리의 다른 글

Callable과 Runnable  (0) 2024.10.29
Tomcat Executor  (0) 2024.10.29
UserDetailsService, PasswordEncoder, AuthenticationProvider  (0) 2024.10.29
JSON Web Token  (0) 2024.10.28
SHA-256  (4) 2024.10.28
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유