[Spring Security] UsernamePasswordAuthenticationFilter

🌳Spring/🌱Spring Security

[Spring Security] UsernamePasswordAuthenticationFilter

junbin2 2025. 5. 7. 05:10

UsernamePasswordAuthenticationFilter 는 SecurityFilterChain 에 3번째 필터에 해당하는 인증을 처리해주는 필터이다.

✅ 1. UsernamePasswordAuthenticationFilter

유저 아이디와 비밀번호를 받아 인증을 해주는 필터이며, 디폴트로 구현이 되어있는 필터이다.
AbstractAuthenticationProcessingFilter 추상 클래스를 상속받아서 구현한 클래스이다.
쉽게말해, 해당 필터는 구현이 되어있어서 바로 이용이 가능하지만, 보통 상속받아서 재정의를 해서 이용을 한다는 의미이다.

✅ 2. UsernamePasswordAuthenticationFilter 핵심 메서드

attemptAuthentication: 유저의 정보를 받아서 검증을 해주는 메서드 ( 아이디, 패스워드 )
successfulAuthentication: attemptAuthentication 메서드에서 검증 성공시 호출되는 메서드
unsuccessfulAuthentication: attemptAuthentication 메서드에서 검증 실패시 호출되는 메서드

✅ 3. attemptAuthentication 메서드

// AbstractAuthenticationProcessingFilter.class
public abstract Authentication attemptAuthentication(
	HttpServletRequest request, 
	HttpServletResponse response) 
		throws AuthenticationException, IOException, ServletException;

AbstractAuthenticationProcessingFilter 추상 클래스로부터, 추상 메서드를 상속받아 만들어진 메서드임.
인증 성공시 Authentication 클래스를 반환하며, 실패시 예외를 던진다.
이후, 인증 성공시 successfulAuthentication 메서드를 호출, 실패시 unsucessfulAuthentication 메서드 예외던지며 호출
해당 메서드의 반환타입은 Authentication 클래스이며, 이 부분이 제일 중요한 부분이다.

✅ 4. Authentication

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

Authentication 클래스는 사용자의 인증 정보를 담는 인터페이스이다.
여러 구현체가 존재하며, 대표적인 구현체로는 UsernamePasswordAuthenticationToken 클래스가 있다.
해당 구현체 클래스를 조건으로 어떤 AuthenticationProvider가 동작될지가 결정이 된다.

✅ 5. AuthenticationManager

public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

Authentication 의 구현체를 받아서 인증을 처리해주는 전략 인터페이스이다.
Authentication 인증 정보를 받아서 성공시 객체 반환 실패시 예외를 던지는 방식이다.
구현체로는 ProviderManager 가 있다.

✅ 6. ProviderManager ( AuthenticationManager 구현체 )

public class ProviderManager implements AuthenticationManager, ... {
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		...	
    }
}

AuthenticationManager 인터페이스 구현체이며, AuthenticationProvider 관리를 하는 역할을 한다.
인증 요청을 적절한 AuthenticationProvider 에 위임을 해준다.
리스트로 여러 Provider를 가지고 있으며, Authentication 구현체에 따라서 맞는 Provider를 매칭시켜준다.
즉, 여기서 AuthenticationProvider 를 호출해서, 인증을 하는 것이다.

✅ 7. AuthenticationProvider

public interface AuthenticationProvider {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
    boolean supports(Class<?> authentication);
}
// 추상클래스 -> AuthenticationProvider 구현
public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, ... {
	...
}
// AbstractUserDetailsAuthenticationProvider 추상 클래스 직접 구현
public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
	...
}

인증을 처리하는 인터페이스이며, 여러 Provider가 구현하고 있다.
대표적인 구현체로는 DaoAuthenticationProvider 클래스가 있음.
계층 구조로는 AbstractUserDetailsAuthenticationProvider 추상클래스가 있으며,
AbstractUserDetailsAuthenticationProvider 추상클래스를 DaoAuthenticationProvider가 구현하고 있음

✅ 8. DaoAuthenticationProvider ( AuthenicationProvider 최종 구현체 )

AbstractUserDetailsAuthenticationProvider 추상클래스가 AuthenticationProvider를 구현하고 있음.
DaoAuthenticationProvider 는 AbstractUserDetailsAuthenticationProvider 추상클래스를 상속 받아서 구현중
데이터베이스 기반 사용자 인증을 처리하는 구현체이다.
UserDetailsService를 사용하여 데이터베이스에 저장된 사용자 정보를 조회한다.
내부적으로 PasswordEncoder를 사용하여 입력 비밀번호와 DB 비밀번호를 비교하여 인증을 수행함.
즉, PasswordEncoder로 DB에 비밀번호 암호화를 해서 넣어줘야지만 동작이 됨.

✅ 정리

Spring Security 는 이미 필터형태로 구현이 되어있으며, UsernamePasswordAuthenticationFilter도 구현되어있음
핵심은 UsernamePasswordAuthenticationFilter 의 attemptAuthentication 메서드가 인증을 받아서 처리를 한다는 부분
해당 UsernamePasswordAuthenticationFilter 를 상속받아서 이용하면 attemptAuthenication 을 재정의 해줘야함.
attemptAuthentication 메서드의 반환 타입은 Authentication 타입이며, 해당 클래스로 반환을 해줘야함.
Authentication 구현체 중 사용할 구현체를 넣어주게 되면, 내부에서 해당 구현체에 맞는 인증 로직이 수행이 됨.
결론은 UsernamePasswordAuthenticationToken 를 이용하면 DaoAuthenticationProvider 가 실행이 됨.