[Spring] Spring Security @AuthenticationPrincipal

 

인증된 사용자의 정보를 가져오는 방법은 다양하다. 

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
String currentPrincipalName = authentication.getName();

UserDetails userDetails = (UserDetails) authentication.getPrincipal();

예전에는 위와 같은 코드를 이용해서 유저를 불러왔다.

SecurityContext에 인증된 Authentication 객체를 넣어두고 현재 스레드 내에서 공유되어 관리할 수 있도록 하는 것이다. 

하지만 이렇게 사용하면 getName()만 부를 수밖에 없다. 

 

다른 방법은 또 없는지 찾아보던 중에 @AuthenticationPrincipal 어노테이션 하나 붙여서 유저 정보를 가져오는 것이 가장 직관적이고 편리한 것 같이 느껴져 이 방법을 선택해 구현했다. 

 

어떻게 구현했는지 알아보자. 

 

@AuthenticationPrincipal

@AuthenticationPrincipal 을 사용하면 현재 로그인한 사용자 객체(UserDetails 인터페이스를 구현한 유저 객체)를 인자에 주입하여 JWT 정보에 필터링된 유저 정보를 Controller에 가져올 수 있다. 

@RestController
public class GetUserWithAuthenticationPrincipalAnnotationController {
    
    @GetMapping("/user")
    public String getUser(@AuthenticationPrincipal UserDetails userDetails) {
        return "User Details: " + userDetails.getUsername();
    }
}

 

 

☀️ 작동원리 

 

@AuthenticationPrincipal 어노테이션 작동 원리는 위와 같다. 

사용자 인증 및 권한 정보가 포함되어 있는 SecurityContext에서 인증 객체를 가져오고, authentication 변수를 통해 접근할 수 있게 했다.

Authentication 객체는 getPrincipal()로 현재 사용자의 주체(Principal)을 반환하고 어노테이션이 붙은 parameter를 찾아서 반환해주는 과정을 거치는 것이다.

결국 SecurityContextHolder에 저장된 인증 객체의 principal을 가져와서 사용하는 것을 어노테이션으로 줄여준 것이다!

 

 

 

User 객체 정보 가져오기

이번 프로젝트에서는 유저 객체를 전부 가져와 필요한 정보들을 사용하고 싶었다. 

보통 UserDetails 인터페이스를 구현한 사용자 지정 클래스를 작성해 사용자의 기본정보 + 사용자 지정 필드를 포함하여 코드를 작성하지만 이번에는 UserAccount라는 클래스를 만들어서 작성해보았다. 

사용자 정보를 로드하는 메서드인 loadUserByUsername()를 통해 UserAccount 클래스가 반환되도록 작성했다. 

JwtTokenProvider 클래스에 생성한 메서드

해당 메서드는 위와 같이 활용된다. 

---

완성

이렇게 하면 유저의 모든 필드를 가져올 수 있다. 

 

 

 

참고자료

https://docs.spring.io/spring-security/site/docs/current/api/org/springframework/security/core/annotation/AuthenticationPrincipal.html

https://www.baeldung.com/get-user-in-spring-security

https://wildeveloperetrain.tistory.com/324#google_vignette