[Spring Security] #1 인증(Authentication) 과 인가(Authorization)의 차이

서론

코드잇 스프린트 트랙도 어느덧 5개월 차에 접어들었습니다.

스프린트 미션이나 프로젝트에서는 로그인 로직과 관련해 보안을 크게 신경 쓰지 않았는데

이번에 Spring Security에 대해 배우기 시작했어요.

강의 내용과 내가 이전에 알고 있던 내용, 새로 조사한 내용을 합쳐 블로그 포스팅으로 정리하는 것이 목표입니다.

 

이전에는 누가 볼거라 생각 안 하고 개인적으로 공부하는 거라 '-이다'라는 어미를 많이 썼는데

추후 면접을 대비해 누구에게 알려주듯이 글을 써보고 싶어 어투가 바뀌었습니다.

 

끝까지 포스팅을 잘 써 누군가에게 실제로 도움이 되면 좋겠네요.

아자아자!

 

---

 

Spring Security를 이해하기 위해서

이 두 가지 개념은 구분할 수 있어야 합니다.

🔓 인증(Authentication)

인증이란, 내가 누구인지, 사용자가 자신이 누구인지를 시스템에 증명하는 과정입니다.

즉, 클라이언트의 신원을 확인하는 절차입니다.

 

대표적인 예로 로그인 과정이 바로 인증에 해당합니다.

 

 

네이버에서 유저 정보가 필요한 몇몇 기능을 쓰고 싶다면(ex 메일 읽기, 쇼핑하기..)

네이버에서는 당연히 현재 접속한 사용자가 누구인지 알아야 합니다. 예를 들어, 네이버에서 메일을 읽거나 쇼핑을 하려면 네이버는 현재 접속한 사용자가 누구인지 알아야 합니다.

 

사용자가 네이버에게 자신이 누구인지 알려주는 방법은 아이디와 비밀번호를 입력하는 것이죠.

이 아이디와 비밀번호는 네이버의 입장에서는 사용자를 식별하기 위한 인증 요소가 됩니다.

 

가입한 아이디와 비밀번호를 입력하면 네이버는 내가 누구인지 알게 되고, 몇몇 기능들을 쓸 수 있게 해줍니다.

👌 인가(Authorization)

인증을 통해 사용자의 신원이 확인되면, 서버는 그 사용자에게 어떤 리소스에 접근할 수 있는지 판단하게 됩니다.

 

그렇다면 우리 서비스의 유저인 것을 알고 있으니 그에 맞는 리소스에 접근하도록 허락해줍니다.

즉, 인가란 사용자의 접근 권한을 확인하고 필요한 권한을 부여하는 과정입니다.

 

로그인을 했다고, 서비스의 모든 기능을 쓸 수 있는 것은 아닙니다.

서버가 나에게 접근해도 된다고 허락한 기능만 쓸 수 있습니다.

 

예를 들어, 많은 서비스들은 관리자 계정과 사용자 계정이 있습니다.

이 경우 서버에서는 두 유저를 각각 ADMIN ROLE과 USER ROLE로 구분합니다.

 

인터넷 쇼핑몰에서 관리자(판매자)는 상품 판매 페이지를 올리거나 판매 상태 데이터 등을 확인하고,

일반 사용자는 상품을 구매하거나 장바구니에 담습니다.

일반 사용자는 판매 상품을 등록할 수 없습니다. 이는 각 계정에 부여된 ROLE에 따라 접근 가능한 리소스가 달라지기 때문입니다.

 

이처럼 ROLE에 맞춰 각자 할 수 있는 행동이 다르고, 서버에서는 인증을 통해 유저의 신원을 확인하고, 그에 맞는 인가를 내립니다.

 

---

 

요약하자면, 인증은 사용자의 신원을 확인하고 인가는 인증된 사용자가 어떤 작업을 수행할 수 있는지를 결정하는 프로세스입니다.

이 두 가지 요소는 함께 사용되어 정보 시스템과 데이터의 보안을 유지하며 접근 제어를 관리하는 데 중요한 역할을 합니다.

 

 

• 인증(Authentication): 사용자가 누구인지 확인하는 과정 (ex. 로그인)
• 인가(Authorization): 확인된 사용자에게 어떤 권한이 있는지 결정하는 과정 (ex. 관리자/사용자 기능 차이)

 

참고자료

https://velog.io/@qjqdn1568/%EC%9D%B8%EC%A6%9D%EA%B3%BC-%EC%9D%B8%EA%B0%80%EC%9D%98-%EC%B0%A8%EC%9D%B4-%EC%9E%90%EC%84%B8%ED%9E%88-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90