Spring Security에서 왜 Member 대신 UserDetails를 사용하나?

Spring Security를 처음 학습할때 가장 헷갈렸던 부분 중 하나는 다음이었다.

"DB에는 Member 엔티티가 있는데, 왜 Spring Security는 갑자기 UserDetails를 사용하지?"

 

실제로 사용자 정보는 Member 엔티티에 저장되어 있는데, 인증과정에서는 UserDetails라는 객체가 등장한다.

 

이번 글에서 Spring Security 인증 구조에서 UserDetails가 왜 필요한지,

그리고 Member 엔티티와 어떤 역할 차이가 있는지 정리해보려고 한다.

 

---

결론

Member는 비즈니스 도메인 엔티티이고,

UserDetails는 Spring Security가 사용하는 로그인 사용자 표준 객체이다.

---

Spring Security 인증 흐름

로그인 요청
    ↓
AuthenticationProvider
    ↓
UserDetailsService
    ↓
DB에서 Member 조회
    ↓
UserDetails 객체 반환
    ↓
Spring Security 인증 처리

• DB에서는 Member를 조회하지만, Spring Security 내부에서는 UserDetails를 사용한다.

@Component
public class HelloUserDetailsServiceV3 implements UserDetailsService {
    private final MemberRepository memberRepository;
    private final HelloAuthorityUtils authorityUtils;

    public HelloUserDetailsServiceV3(MemberRepository memberRepository, HelloAuthorityUtils authorityUtils){
        this.memberRepository = memberRepository;
        this.authorityUtils = authorityUtils;
    }
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 회원조회
        // (6)credential 조회
        // (7)UserDetails 생성
        Member findMember = memberRepository.findByEmail(username)
                .orElseThrow(() -> new BusinessLogicException(ExceptionCode.MEMBER_NOT_FOUND));

//        // 내부적으로 List, Set 사용
//        // ? extend GrantedAuthority: GrantedAuthority를 상속받고있는 애들만 들어올 수 있다.
//        Collection<? extends GrantedAuthority> authorities =
//                authorityUtils.createAuthorities(findMember.getEmail());

        // (8)UserDetails 전달
        return new HelloUserDetails(findMember);
    }

    // UserDetails 정보가 너무 빈약하기때문에 Member의 필드를 참조하고 싶은것.
    private final class HelloUserDetails extends Member implements UserDetails{

        public HelloUserDetails(Member member){
            setMemberId(member.getMemberId());
            setEmail(member.getEmail());
            setPassword(member.getPassword());
            setFullName(member.getFullName());

            //권한 추가
            setRoles(member.getRoles());
        }

        @Override
        public Collection<? extends GrantedAuthority> getAuthorities() {
            return authorityUtils.createAuthorities(this.getRoles());
        }

        @Override
        public String getUsername() {
            return this.getEmail();
        }

        @Override
        public boolean isAccountNonExpired() {
            return true;
        }

        @Override
        public boolean isAccountNonLocked() {
            return true;
        }

        @Override
        public boolean isCredentialsNonExpired() {
            return true;
        }

        @Override
        public boolean isEnabled() {
            return true;
        }
    }
}

• UserDetailsService를 보면 loadUserByUsername() 메서드를 통해 DB에 Member를 조회하고 반환은 UserDetails로 하는걸 알 수 있다.

 

왜 Member를 직접 사용하지 않을까?

Spring Security는 특정 프로젝트 엔티티 구조를 알지 못한다.

프로젝트 마다 Member, User, Admin등 사용자 엔티티 이름과 구조가 모두 다르다.

그래서 Spring Security는 "프로젝트마다 다른 사용자 엔티티 대신 내가 필요한 사용자 정보 형식을 정의하자" 라는 방식으로 설계

 

즉 "추상화"를 위해서 라고 생각하면 됨.

-> Spring Security는 프로젝트마다 다른 사용자 엔티티가 Member이든, User이든, Admin이든 알 필요가 없다.

---

 

정리

Spring Security에서 UserDetails를 사용하는 이유는 프로젝트마다 다른 사용자 엔티티 구조를 통일된 방식으로 처리하기 위해서이다.