[스프링 시큐리티] 인증과 인가

스프링 시큐리티에 대해 공부하기 전에 용어에 대한 가벼운 정리를 한다. 여러 동영상 강의 또는 블로그 그리고 책에서 내용을 그냥 내가 생각하고 이해한 대로 정리한다. 미래에 또 구글에 검색할 나를 위해 정리.

인증(Authentication)과 인가(Authoriz)

인증이란 사용자가 누구인지 확인하는 과정이다. 즉 신원을 확인하는 거다. 너 누구야?라는 의미

예가 좀 적절하지 않더라도 예를 들어서 설명을 해보자면 보안이 아주 강력한 회사에 다닌다고 생각해보자. 이 회사는 보안이 아주 강력해서 출근할 때는 물론이고 서버실을 사용할 때는 과장님 이상만 들어갈 수 있다고 한다.

 

배찌 사원은 오늘 하루도 즐겁게 회사에 출근했다. 회사에서 일도 하고 커피도 먹고 화장실도 가고 업무를 보다가.. 갑자기 급하게 회사 내부 서버실에 문제가 생겨서 들어가야 하는데 하필 이때 과장님들이 다 외근을 나가서 회사에 없다고 한다. 그런데 고객사에서 너무 급하다고 서버실에서 빨리 수정을 해달라고 한다. (아 마땅한 예제가 생각이 안 난다..)

 

여기까지가 인증과 인가에 대한 내용이다.

김사원은 오늘 하루도 즐겁게 회사에 출근(인증)했다. 출근해서 지문을 찍고 그 회사에 누구인지 인증하는 것이다. 난 이 회사의 사원이라고 인증한 것이다. 인증을 했으므로 회사 문을 열고 들어올 수 있었다. 그리고 서버실을 들어가려고 하는데 지문 인증이 안된다. 서버실을 들어갈 권한(인가)이 없기 때문이다.

 

자주 사용하는 쇼핑 사이트를 생각해보자.

메인 페이지에서 마이페이지를 들어가려면 로그인을 먼저 하라고 한다. 이때 이 사용자는 인증을 안 했기 때문이다. 자세히 말하면 인증도 안되어있는데 인가(권한)도 없다.

마이페이지에 들어가기 위해서 로그인(인증)을 했다. 이후에 관리자 페이지를 접속할 수 있는 사이트를 알았다고 하자. 관리자 페이지에 접속을 하려고 하면 접속이 안된다. 왜? 인가(권한)가 없기 때문이다.

 

정리

인증란?

- 사용자에게 신원을 확인하는 과정

- 너 누구야? who are you?

- ex) 로그인

 

인가란?

- 접근 권한을 가지고 있는지 확인하는 과정

- 너 여기 올 수(접근) 있는 거 맞아? 

- ex) 사용자가 관리자 페이지 접근, 게시판에서 남의 글 수정

 

필력 좀 늘려야겠다. 이후에 다시 다듬어서 수정해야겠다.