Spring Security 의 주요 공유 컴포넌트들은 다음과 같으며, 해당 컴포넌트에 대한 추가 정보는 본 문서의 Appendix A. Authentication / Authorization 및 Spring Security 의 공식 매뉴얼 (http://static.springsource.org/spring-security/site/docs/2.0.x/reference/springsecurity.pdf)을 참고하기 바란다.

• SecurityContextHolder : SecurityContext 에 대한 모든 유형의 access 를 제공한다.

• SecurityContext : Authentication 객체를 담고 있으며, 또한 request 에 특정한 보안정보를 유지 할 수도 있다.

• HttpSessionContextIntegrationFilter : 웹 요청 간의 SecurityContext 를 HttpSession 에 저장한다.

• Authentication : Spring Security 에 특정한 방법으로 인증주체를 표현한다.

• GrantedAuthority : 인증주체에 대한 어플리케이션 범위의 권한을 나타낸다.

• UserDetails : 어플리케이션의 DAO 를 사용하여 Authentication 객체를 작성할 수 있도록 필요한 정보를 제공한다.

• UserDetailsService : String 기반의 username(또는 인증 ID, 일반적으로 userId 로 사용함)이 전달되었을 때 UserDetails 를 생성한다.

• 1. 자원(img/html 등의 static 웹 리소스 또는 .do/jsp 등의 dynamic 웹 리소스) 요청

• 2. 보호된 자원(secured resources)인지 판단

• 3. 인증된 사용자인지 판단 -> 인증된 경우 다음 단계 진행 / 인증 정보가 없는 경우 인증을 위한 처리로 분기

• 4. 아직 인증이 되지 않은 경우 로그인 페이지로 이동 (기존 요청 url 은 인증 성공 후 진행할 수 있도록 보관)

• 5. 인증 메커니즘에 따라 사용자 로그인 (일반적으로 id/password 를 HTML Form 을 통해 post 방식으로 submit)

• 6. 신원 정보(credential)가 유효한지 판단 -> 유효 시 다음 단계 진행 / 유효치 않을 시 에러 페이지 이동 또는 신원 정보 재요청(로그인 실패 정보 설정하여 로그인 페이지로 되돌아감)

• 7. 해당 보호 자원에 대한 접근 권한이 있는지 판단 -> 있으면 보호 자원 제공 / 접근 권한 없을 시 Access Denied 에러 페이지로 이동

• 타겟 어플리케이션에 설치되어 인증 및 권한 처리 제어

• DB 기반의 보호자원, 권한 맵핑 처리 제공

• 런타임 보호자원-권한 맵핑 (Web Url, Restricted Times Roles/Resources) reload 기능 제공

• 사용자 정의 viewResource 에 대한 Permission 체크 기능 제공

• Anyframe IAM 의 DB Schema 를 사용할 수 없거나 JDK 1.4 환경인 경우 IAM Core 단독으로 적용 가능 cf.) 데이터 관리는 업무 프로젝트에서 대응해야 함