[스프링 시큐리티] RememberMeAuthenticationFilter

RememberMe

• 세션이 만료되거나 종료 된 후에도 서버에서 클라이언트의 인증 유무를 기억하는 기능
• 로그인 성공 시 서버에서 쿠키를 헤더에 실어서 발급하게 되고 클라이언트에서는 발급된 쿠키를 가지고 서버에 접근하게 된다.
• 서버에서는 클라이언트에서 전달 된 쿠키를 이용해서 유효성을 검증한다.
  • 인증 성공(Remember-Me 쿠키 발급)
  • 인증 실패(Remember-Me 쿠키 존재시 삭제)
  • 로그 아웃(Remember-Me 쿠키 존재시 삭제)

protected void configure(HttpSecurity http) throws Exception {
    http.rememberMe()
        .rememberMeParameter("remember")            // 기본 파라미터명은 remember-me
        .tokenValiditySeconds(3600)                 // 기본 14일
        .alwaysRemember(true)                       // 기능 활성화되지 않아도 항상 실행
        .userDetailsService(userDetailsService)     // 사용자 조회 서비스 설정
}

RememberMeAuthenticationFilter

• 동작 조건
  • 인증 객체가 SecurityContext에 존재하지 않는 경우
  • 헤더에 remember-me 쿠키가 존재하는 경우

TokenBasedRememberMeServices

• 메모리에 저장 된 Token을 쿠키로 클라이언트에 전달

PersistentTokenBasedRememberMeServices

• 데이터베이스에 저장 된 Token을 쿠키로 클라이언트에 전달

참조 : 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security 강좌