<aside> 💡 스프링 시큐리티의 인가 과정을 학습해보자!

</aside>

시프링 시큐리티는 총 세가지 계층에 권한제어 기능을 제공한다.

• 웹 계층
  • URL 요청에 따른 메뉴 혹은 화면 단위
• 서비스 계층
  • 메소드와 같은 기능 단위
• 도메인 계층
  • 객체 단위

Spring Security Authorization Flow

FilterSecurityInterceptor

• 마지막에 위치한 필터
• 인증 된 사용자의 요청에 대한 승인/거부 여부를 최종적으로 결정
• 인증 객체가 없다면 AuthenticationException
• 인가 시도
• 사용자의 권한이 없다면 AccessDeniedException
• HTTP 자원의 보안을 처리
• 권한 처리를 AccessDecisionManager에게 위임

인증처리_필터_적용() {
	필요한_인증정보 (attributes) = securityMetadataSource.필요한정보(req, resp, chain)
	
	if(attributes : Emtpy){
			return;
	}else{
			인증객체 = SecurityContextHolder.인증객체_꺼내기();
			if(인증객체 == null){
				인증예외 빵
			}
			인가_시도( );
			
			대충_후처리
			return;
	}
}