[Spring Security] 인증(Authentication), 인가(Authorization) 개념과 차이

인증 (Authentication)

 

정의

• "이 요청을 보낸 사용자가 누구인지 확인하는 과정"
• 로그인
• JWT 토큰 검증
• 세션 쿠키 검증
• API Key 검증

인증의 결과

• 사용자가 확인되면 SecurityContext에 사용자 정보(Authentication) 저장됨
• 사용자가 확인되지 않으면 요청은 종료됨

인증 실패 시

• HTTP Status : 401 Unauthorized

-> 인증 = 신원 확인

 

 

인가 (Authorization)

 

정의

• "인증된 사용자가 이 행동을 할 권한이 있는지 판단하는 과정"
• Role (USER, ADMIN, CREATOR)
• Authority (WRITE_POST, DELETE_POST)
• 리소스 소유자 여부 (내 글인지?)
• 상태 (구독 여부, 결제 여부, 정지 여부)

인가의 결과

• 권한이 있으면 -> 요청 계속 진행
• 권한이 없으면 -> 접근 차단

인가 실패 시

• HTTP Status : 403 Forbidden

-> 인가 = 권한 판단

 

 

인증 vs 인가

구분	인증 (Authentication)	인가 (Authorization)
질문	너 누구냐	너 이거 해도 되냐
기준	로그인, 토큰, 세션	Role, 권한, 상태
실패 코드	401	403
처리 위치	Security Filter	Filter / Method / Service
선후 관계	항상 먼저	인증 이후

 

 

Spring Security 내부 흐름

요청
 ↓
Security Filter Chain
 ↓
[인증 필터]
 - JWT 검증
 - 사용자 식별
 - SecurityContext에 저장
 ↓
[인가 처리]
 - URL 접근 권한
 - @PreAuthorize
 - 권한 체크
 ↓
Controller