Spring Security 핵심

• 인증(Authentication): “누구냐?”를 검증(아이디/비번, 토큰 등) → Authentication 생성
• 인가(Authorization): “무엇을 할 수 있냐?”를 판별(ROLE/권한) → URL/메서드 보호
• 컨텍스트: SecurityContextHolder(ThreadLocal)에 현재 사용자 Authentication 보관(STATELESS에선 매 요청 토큰으로 재구성)

필터 체인 역할

• Spring Security의 필터 체인에서 각 필터의 기본 순서
• SecurityContextPersistenceFilter: 요청 시작 시 SecurityContext 준비/복원, 응답 시 정리.
  • Stateless 정책이면 세션 저장 X → JWT로 매 요청 재구성
• LogoutFilter: /logout 처리. 커스텀 LogoutHandler 달아 Refresh 토큰 무효화/블랙리스트 반영
• CsrfFilter: 상태 있는 폼 로그인 사이트에서 활성. REST API + JWT + STATELESS면 보통 disable() 또는 Cookie 기반 JWT면 CSRF 대응 필요
• UsernamePasswordAuthenticationFilter: 폼/JSON 로그인 엔드포인트에서 자격 증명 추출 → AuthenticationManager
• BasicAuthenticationFilter: Authorization: Basic ... 처리(대개 비활성)
• RequestCacheAwareFilter: 인증 후 이전 요청으로 복귀(주로 MVC)
• AnonymousAuthenticationFilter: 미인증 사용자를 익명 사용자로 대체
• SessionManagementFilter: 세션 정책; STATELESS 권장
• ExceptionTranslationFilter: 인증/인가 예외를 401/403로 바꿔줌, 엔트리포인트/DeniedHandler 연결
• FilterSecurityInterceptor: 최종 URL 권한 판단(AccessDecisionManager, Voter)

커스텀 JWT 필터는 보통 UsernamePasswordAuthenticationFilter 앞(혹은 BasicAuthenticationFilter 앞)에 배치해서

“토큰이 있으면 인증 완료로 간주 → 아래 폼/Basic 인증 필터 스킵” 전략을 씀