중꺾마

HttpSessionEventPublisher

Z_Z — Tue, 19 May 2026 09:00:52 +0900

HttpSessionEventPublisher

Spring Security 에서 사용하는 클래스인데, 서블릿 컨테이너에서 발생하는 HttpSession 이벤트를

Spring Security 쪽 이벤트로 변환해서 전달해주는 다리 역할을 한다. 즉, 톰캣 같은 WAS 가

세션 생성 / 삭제 / ID 변경을 알리면, 그걸 Spring 어플리케이션 컨텍스트가 들을 수 있는 이벤트로 변환하여

전달한다.

즉, 쉽게 말하면

Tomcat 세션 이벤트
   ↓
HttpSessionEventPublisher
   ↓
Spring Security 이벤트

왜 필요한가

Spring Security 세션 관련 기능, 특히 동시 세션 제어나 세션 만료 감지는 컨테이너의 HttpSessionListener 이벤트만으로는

부족하다. HttpSessionEventPublisher 가 있어야 세션 생성/종료 시점에 Spring 쪽 SessionDestroyedEvent 같은 이벤트가

정상적으로 올라온다.

WAS는 세션이 생성/삭제될 때 아래 이벤트를 발생시킨다.

HttpSessionListener

하지만 Spring Security 는 이 이벤트를 직접 받지 못한다.

그래서 아래의 HttpSessionEventPublisher 가 대신 받아서 Spring 이벤트로 변환한다.

HttpSessionEventPublisher

내부 동작 흐름

예를 들어 세션 만료 시 아래와 같이 동작하는 구조이다.

1. Tomcat 이 세션 제거
2. HttpSessionListener 호출
3. HttpSessionEventPublisher 실행
4. Spring ApplicationEvent 발행
5. SessionDestroyedEvent 발생
6. ApplicationListener<SessionDestroyedEvent> 실행

실제 클래스 구조

public class HttpSessionEventPublisher
        implements HttpSessionListener, HttpSessionIdListener

등록 방법(Spring Boot 3)

@Configuration
public class SessionConfig {

    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }
    
    @Bean
	ServletListenerRegistrationBean<HttpSessionEventPublisher> getHttpSessionEventPublisher() {
	    return new ServletListenerRegistrationBean<HttpSessionEventPublisher>(httpSessionEventPublisher());
	}
}

ApplicationListener<SessionDestroyedEvent>

Z_Z — Tue, 19 May 2026 08:46:15 +0900

ApplicationListener<SessionDestroyedEvent> 란?

Spring Security 에서 세션(Session) 이 종료되거나 만료될 때 발생하는 이벤트를 감지하는 리스너이다.

보통 아래 상황에서 실행된다.

세션 타임아웃 만료
로그아웃
세션 강제 제거
Cocurrent Session Control 로 인한 세션 종료

SessionDestroyedEvent

SessionDestroyedEvent 는 단순히 브라우저 탭을 닫는 순간이 아니라, Spring Security 가 관리하는 세션이

만료되거나 무효화될 때 발생하는 이벤트입니다. 이 이벤트 안에는 보통 해당 세션에 연결된 SecurityContext 목록이

들어있어서, 어떤 사용자의 세션이 끝났는지 확인할 수 있습니다.

보통 같이 필요한 것(HttpSessionEventPublisher)

해당 리스너만 등록해서는 부족하고, HttpSessionEventPublisher 도 함께 등록해야 세션 생성/삭제 이벤트가

Spring Security 이벤트로 전달됩니다. Spring Boot 에서는 보통 설정 클래스에

ServletListenerRegistrationBean<HttpSessionEventPublisher> 형태로 빈 등록을 합니다.

@Bean
HttpSessionEventPublisher httpSessionEventPublisher() {
    return new HttpSessionEventPublisher();
}

@Bean
ServletListenerRegistrationBean<HttpSessionEventPublisher> getHttpSessionEventPublisher() {
    return new ServletListenerRegistrationBean<HttpSessionEventPublisher>(httpSessionEventPublisher());
}

왜 필요하냐?

Spring Security 는 기본적으로 WAS 의 세션 이벤트를 직접 받지 못한다.

아래 구조처럼 WAS 의 이벤트를 HttpSessionEventPublisher 리스너가 대신 받아 Spring Event 로 변환하여

SessionDestroyedEvent 를 발생시킨다.

WAS Session Event
   ↓
HttpSessionEventPublisher
   ↓
Spring Event 로 변환
   ↓
SessionDestroyedEvent 발생

간단 예시

SessionDestroyedEvent 는 Spring Security 가 발행하는 이벤트이다.

@Component
public class SessionDestroyedListener 
        implements ApplicationListener<SessionDestroyedEvent> {

    @Override
    public void onApplicationEvent(SessionDestroyedEvent event) {

        System.out.println("세션 종료됨");

        event.getSecurityContexts().forEach(context -> {
            String username = context.getAuthentication().getName();

            System.out.println("로그아웃 사용자 : " + username);
        });
    }
}

OpenCode 란?

Z_Z — Fri, 15 May 2026 10:35:59 +0900

OpenCode 란?

터미널이나 IDE 안에서 동작하는 오픈소스 AI 코딩 에이전트이다.

사람의 언어인 자연어로 명령을 해서 코드를 생성, 수정, 분석하는 오픈소스 AI 코딩 에이전트이다.

단순 자동완성 수준이 아니라 프로젝트 전체를 읽고 코드 수정, 파일생성, 테스트 실행까지 해주는 개발용 AI 도구이다.

핵심기능

자연어 기반 코드 작업(생성, 리팩토링, 버그 수정 등)을 터미널 또는 IDE에서 실행할 수 있습니다.
여러 LLM(예: OpenAI, Anthropic/Claude, Google Gemini 등)을 API 키로 연결해 사용자가 모델 선택을 유연하게 할 수 있습니다.

아키텍처ㆍ확장성

CLI 중심으로 동작하지만 플러그인(또는 하네스)을 통해 서브에이전트 ㆍ도구(브라우저 자동화, Git 연동, 테스트 실행 등)를 추가할 수 있어 확장이 쉽다.
설정 파일(프로젝트/사용자 레벨)을 통해 에이전트, 모델, 온도 등 실행 파라미터를 세부적으로 구성할 수 있습니다.

GitHub Copilot이랑 차이

항목	OpenCode	GitHub Copilot
방식	AI 에이전트	자동완성 중심
동작	코드 수정/실행 가능	코드 추천
터미널 작업	강함	약함
모델 선택	자유로움	제한적
오픈소스	대부분 가능	폐쇄형
프로젝트 분석	깊음	상대적으로 제한

즉,

Copilot → “코드 추천”
OpenCode → “개발 작업 수행”

실제 개발에서 많이 쓰는 기능

버그 수정

NullPointerException 원인 찾아서 수정해줘

리팩토링

Service 계층 구조 정리해줘

장점

무료/오픈소스 기반
터미널 친화적
여러 AI 모델 사용 가능
로컬 모델 연동 가능
대형 프로젝트 분석 가능

단점

영어 기반 프롬프트가 아직 더 강함
AI 가 잘못 수정할 수도 있음
토큰 비용 발생 가능(OpenAI / Claude API 사용 시)
초보자에겐 설정이 약간 복잡할 수 있음

Spring WebMvcConfigurer

Z_Z — Thu, 23 Apr 2026 13:57:28 +0900

Spring MVC 기본 동작을 갈아엎지 않고 필요한 부분만 커스터마이징하는 인터페이스이다

✅ 1. 어디에 쓰는가?

Spring Boot 는 기본적으로 내부에서 MVC 설정을 자동으로 해준다
WebMvcConfigurer 인터페이스를 구현하면 DispatcherServlet 과 관련된 MVC 설정(인터셉터, CORS, 리소스 핸들링, 뷰 설정 등) 을 Java 기반으로 커스텀할 수 있다

여기서 기본 설정은 그대로 두고 필요한 부분만 커스터마이징하기 때문에 전체 설정을 다시 만드는것보다 간편하다

@Configuration
public class WebConfig implements WebMvcConfigurer {
}

이렇게 설정하게 되면 Spring MVC 설정에 끼어들 수 있다

1️⃣ 정적 리소스 매핑

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("/wvoice/**")
            .addResourceLocations("file:/data/tts/");
}

/wvoice/ 이후의 경로를 resourceLocation 경로 뒤에 매핑시켜 실제 파일 경로로 접근하여 처리할 수 있다

2️⃣ 인터셉터 등록

@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new LoginInterceptor())
            .addPathPatterns("/**")
            .excludePathPatterns("/login");
}

필터 이후에 접근한 요청에 대해 URL 로 구분하여 처리할 수 있다

3️⃣ CORS 설정

@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**")
            .allowedOrigins("*")
            .allowedMethods("*");
}

요청 도메인과 접근한 도메인이 다를때 처리한다

4️⃣ ViewResolver 설정

@Override
public void configureViewResolvers(ViewResolverRegistry registry) {
    registry.jsp("/WEB-INF/views/", ".jsp");
}

JSP 같은 뷰 설정을 한다

5️⃣ 메시지 컨버터 (JSON 등)

@Override
public void extendMessageConverters(List<HttpMessageConverter<?>> converters) {
}

Object -> Json 변환 커스터마이징

6️⃣ 포맷터 / 컨버터

@Override
public void addFormatters(FormatterRegistry registry) {
}

날짜, enum 변환 등

Spring Boot WebMvcConfigurer addResourceHandlers 설정

Z_Z — Thu, 23 Apr 2026 13:23:47 +0900

Spring Boot 에서 특정 파일을 /static 리소스 경로에 생성하고 그 파일을 브라우저의 Audio 기능을 통해 음성파일을

실행했어야 했는데 파일을 생성한 후 실행하려고 보니까 에러가 났다.

에러의 원인은 파일 리소스를 어플리케이션에서 reload 를 해주기 직전에는 리소스를 인식하지 못하는 이유였다.

해당 원인을 해결하기 위해 특정 파일 경로를 설정하고 특정 요청으로 왔을 때 파일이 있는 실제

경로를 매핑하여 실행하면 해결된다.

WebMvcConfigurer 설정

@Slf4j
@Configuration
@Profile("!test")
public class WebMvcConfig implements WebMvcConfigurer {
	@Value("${urgent.preview.upload.use}")
	private boolean URGENT_PREVIEW_UPLOAD;		// true
	
	@Value("${urgent.preview.tts.file.upload.path}")
	private String URGENT_PREFIEW_FILE_UPLOAD_PATH ; 		// c:/data/upload/tts
    
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
    	if(URGENT_PREVIEW_UPLOAD) {
    		String urgentLocation = Paths.get(URGENT_PREFIEW_FILE_UPLOAD_PATH)
                    .toAbsolutePath()
                    .normalize()
                    .toUri()
                    .toString();
    		
    		if (!urgentLocation.endsWith("/")) {
                urgentLocation += "/";
            }
    		
    		registry.addResourceHandler("/static/js/tts/**")
			            .addResourceLocations(urgentLocation)
			            .setCachePeriod(0)
			            .resourceChain(true)
			            .addResolver(new PathResourceResolver());

    		log.info("add urgent preview tts path: {}", urgentLocation);
    	}
    }
}

// properties 데이터
urgent.preview.tts.file.upload.path=c:/data/upload/tts

addResourceHandler("/static/js/tts/**")

본인이 음성 파일 실행을 위해서 아래와 같이 javascript 실행요청을 하게 된다.

const audio = new Audio(`${contextPath}/static/js/tts/${res.data.wav_file_name}?v=${Date.now()}`);

여기서 Handler 에 "/static/js/tts/" 설정 이후 ** 음성파일명만 .addResourceLocation 에 설정된 URL 로 매핑된다.

예시

요청 URL	실제 찾는 파일
/static/js/tts/EmergencyA.wav	C:/data/upload/tts/EmergencyA.wav baeldung.xiaocaicai+1
/static/js/tts/EmergencyA.wav	C:/data/upload/tts/js/tts/EmergencyA.wav
/static/js/tts/a/b/c/test.wav	C:/data/upload/tts/a/b/c/test.wav

위 예시처럼 ** 로 매핑된 문자열이 resourceLocation 설정 URL 뒤에 나머지 경로로 설정된다.

어떻게 동작하냐 (핵심)

실제 파일

C:/data/upload/tts/js/tts/EmergencyA.wav

설정

ResourceHandler: /static/js/tts/**
ResourceLocation: file:C:/data/upload/tts/

요청이 들어오면

/static/js/tts/EmergencyA.wav

Spring이 이렇게 변환함:

file:C:/data/upload/tts/ + EmergencyA.wav

결과:

C:/data/upload/tts/js/tts/EmergencyA.wav

Javascript 접근성 경고(focus management)

Z_Z — Fri, 17 Apr 2026 13:32:53 +0900

에러 내용은 아래와 같다.

Modal 창을 제어하다가 Modal 창을 닫을 때 숨겨질 영역안의 버튼이나 input에 포커스가 남아 있으면, 보조기술 입장에서는

포커스는 거기에 있는데 그 역역은 숨겨져 있는 모순 상태가 된다.

즉, 본인은 Modal 창을 닫을 때 닫기 버튼에 대한 포커싱이 남아있어서 브라우저 콘솔창에 경고가 찍혔다.

원인은 Bootstrap 의 modal 속성에 aria-hidden="true" 를 적용하자 브라우저가 "포커스된 요소를 숨기면 안된다" 고

경고를 띄운것이다.

Blocked aria-hidden on an element because its descendant retained focus. 
The focus must not be hidden from assistive technology users. 
Avoid using aria-hidden on a focused element or its ancestor. 
Consider using the inert attribute instead, which will also prevent focus. For more details, 
see the aria-hidden section of the WAI-ARIA specification at [https://w3c.github.io/aria/#aria-hidden](https://w3c.github.io/aria/#aria-hidden).
Element with focus: <button.btn btn-default>
Ancestor with aria-hidden: 
<div.manager-dialog manager-site-dialog modal draggable fade in#urgentMessageServerDialog> <div class="manager-dialog manager-site-dialog modal draggable fade in" id="urgentMessageServerDialog" tabindex="-1" style="display: none;" aria-hidden="true">…</div>

blur()

blur() 는 현재 포커스된 요소에서 포커스를 제거하는 역할을 한다.

즉, 모달을 닫기 전에 document.activeElement.blur() 를 해주면 닫는 순간 모달 안에 포커스가 남아 있지 않게 만들어

이 경고를 줄일 수 있다.

예를 들면:

const activeEl = document.activeElement;
if (activeEl && typeof activeEl.blur === 'function') {
    activeEl.blur();
}

Modal의 data-bs-dismiss 속성을 없애니 해결됐다.

data-bs-dismiss="modal" 를 쓰면 Bootstrap 이 버튼 클릭 직후 자기 타이밍으로 바로 hide 를 처리한다.

이때 개발자가 blur() -> hide() 순서를 세밀하게 제어하기 어려워서, 닫기 버튼에 포커스가 남은 채 aria-hidden 이 먼저 적용되어

경고성 메시지가 뜬다.

반대로 dismiss 뺴고 직접 닫으면:

버튼 포커스 해제
필요시 opener(modal 창을 뜨게 만든 버튼) 포커스 이동
modal.hide()

왜 브라우저는 이걸 경고하나

키보드 사용자나 스크린리더 사용자는 현재 포커스가 어디 있는지가 매우 중요하다.

만약 포커스가 숨겨진 요소에 남아 있으면:

사용자는 현재 위치를 잃을 수 있고
스크린리더가 숨겨진 요소를 참조하게 될 수 있으며
탭 이동 흐름이 꼬이거나 예기치 않은 UX 가 생길 수 있다.

async await 사용 시 promise 의 resolve 와 return; 차이

Z_Z — Tue, 10 Mar 2026 14:38:39 +0900

new Promise 로 return 을 하는 함수가 있다.

Promise 함수 내부에서 jquery 의 ajax 를 통해 api 요청을 한 후 count 값이 0일 경우 "return;" 을 사용했더니

promise 를 await 로 호출한 부분 이후의 로직이 실행되지 않았다.

이유는 new Promise 가 resolve 또는 reject 를 줄 때 까지 await 는 계속 대기하고 있기 때문에

이후 로직이 실행되지 않는다.

new Promise 함수 예시

function checkData() {
    return new Promise((resolve, reject) => {
        $.ajax({
            url: '/api/data',
            success: (response) => {
                if (response.dataCnt === 0) {
                    return;  // ❌ Promise resolve 안됨, await 대기
                }
                resolve(response);  // ✅ 올바른 방법
            }
        });
    });
}

// 호출
async function main() {
    const result = await checkData();  // dataCnt=0이면 여기서 영원히 대기!
    console.log('이 코드는 실행 안됨');  // ❌
}

해결 방법 3가지

1. resolve(undefined) 또는 return undefined;

success: (response) => {
    if (response.dataCnt === 0) {
        resolve();  // ✅ 빈 값으로 resolve
        // 또는 return undefined;  // ✅ Promise가 undefined로 resolve됨
    } else {
        resolve(response);
    }
}

2. 조건부 resolve(권장)

success: (response) => {
    if (response.dataCnt === 0) {
        resolve({ dataCnt: 0 });  // 명시적 상태 전달
        return;
    }
    resolve(response);
}

return; 이 아닌 resolve 상태 전달을 통해 await 에게 알려준다.
return; 을 하게 되면 함수만 종료되고 await 는 계속 대기상태에 빠진다.

3. async/await 으로 리팩토링(가장 깔끔)

async function checkData() {
    const response = await $.ajax({ url: '/api/data' });
    if (response.dataCnt === 0) {
        return { dataCnt: 0 };  // ✅ 자동으로 Promise resolve됨
    }
    return response;
}

3번째 방법은 new Promise 가 아닌 await + ajax 방식으로 바로 사용하는게 깔끔하다.
$.ajax() 는 Promise 를 반환하기 때문에 굳이 new Promise 를 사용할 필요가 없다.
return 하면 자동으로 Promise 가 resolve 된다.
new Promise 는 jQuery 이전 XMLHttpRequest 시대에 필요했던 패턴이라고 한다.

호출 측 처리

async function main() {
    const result = await checkData();
    if (result.dataCnt === 0) {
        console.log('데이터 없음');
        return;  // 여기서도 안전
    }
    console.log('데이터 처리:', result);  // ✅ 정상 실행
}

여기서 await 로 요청했을 때 정상적으로 처리된다.

img 태그 src 속성 아이폰 브라우저 CORS 문제 해결

Z_Z — Mon, 9 Mar 2026 13:21:42 +0900

Spring Boot, Thymeleaf 환경에서 URL 자체를 넘겨 HTML 의 img src 속성에 설정했다.

접근한 URL 과 불러오는 이미지 URL 자체의 도메인이 달랐기 때문에 CORS 문제가 터졌다.

안드로이드 폰에서는 이미지 자체를 잘 불러왔으나 아이폰에서는 안나와서 찾아보니

iOS 의 브라우저는 CORS 정책이 엄격하다고 한다.

그래서 여러가지 방법을 찾아보다가 가장 안정적이고 쉬운 방법은 backgroud-image css 설정을

사용해 화면에 보여주는걸로 해결했다.

처음에 시도했던 방법은 <object> 태그다.

Object 태그 사용 예시

<!-- 기존 object에 class 추가 -->
<object class="product-image thumbnail" 
        data="https://www.naver.com/image.jpg" 
        type="image/jpeg" 
        width="300" height="200">
  <img src="https://www.naver.com/image.jpg" alt="대체 이미지">
</object>

CSS background-image 사용 예시

<!-- 이렇게 하신 거죠? -->
<span th:style="'background-image: url(' + ${product.iconPath} + ')'"
      class="icon-span">
</span>

<object> VS span[background-image] 차이점 정리

항목	<object>	span + background-image
브라우저 CORS 검사	엄격 (iOS에서 차단)	없음 (CSS 백그라운드)
JS DOM 조작	내부 콘텐츠로 childNodes 에러	없음 (단순 CSS)
JS 에러 발생	null.childNodes 에러 가능	0% 발생
성능	별도 리소스 로드	CSS 단일 요청
iOS Safari 호환	SVG에서 문제 잦음	완벽
캐싱	별도 이미지 캐시	CSS 배경화면 캐시

background-image 장점

CORS 우회 : background-image 는 <img> 처럼 CORS 검사 안받는다.
JS 안전 : DOM 조작 없어서 childNodes 에러 0%
iOS 완벽 : Safari / Chrome 둘 다 문제없음
간단 : Thymeleaf 한 줄로 해결
유연 : hover, active 등 CSS 효과 무한

성능 최적화 팁

<span th:style="'background-image: url(' + ${product.iconPath} + ');background-size:contain'"
      class="icon-span"
      th:title="${product.name}"
      th:attr="data-icon=${product.iconPath}">
</span>

span + background-image 는 실무에서 크로스 브라우저 이미지 표시의 고전적인 최선책이다.

JS 에러도 없고 iOS 도 완벽하고 유지보수도 쉽다.

Spring Security OAuth2.0

Z_Z — Tue, 3 Mar 2026 13:40:23 +0900

1️⃣ OAuth 2.0이란 무엇인가?

OAuth 2.0은 권한 위임(Authorization) 프로토콜이다.

즉, 사용자의 비밀번호를 공유하지 않고 Access Token 을 이용해 다른 서버의 리소스(API) 에 접근하도록

하는 표준이다.

OAuth 2.0이 해결하는 문제

예를 들어 어떤 사이트에서 이런 버튼을 본적 있을것이다.

Google 로그인
Kakao 로그인
GitHub 로그인

이때 사용자는 아이디/비밀번호를 그 서비스에 직접 입력하지 않고

외부 인증 서버가 대신 인증을 해준다.

즉 구조는 이렇게 된다.

사용자 → 내 서비스 → Google 로그인 → Google 인증 → 내 서비스

내 서비스는 사용자의 비밀번호를 몰라도

Google 이 인증한 사용자라는 것만 확인하면 된다.

이것이 OAuth 2.0의 핵심 개념 = 권한 위임(Authorization Delegation)

2️⃣ OAuth 2.0 주요 구성요소

역할	설명
Resource Owner	사용자
Client	사용자의 리소스에 접근하려는 어플리케이션(우리 Spring 서버)
Authorization Server	로그인/동의를 받고 Access Token 을 발급하는 서버 (Keycloak, Auth Server)
Resource Server	API 서버

3️⃣ OAuth2 로그인 흐름 (Spring Security 기준)

사용자가 "Google 로그인" 클릭
Spring Security → Google 로그인 페이지 redirect(Google Authorization Server 로 redirect)
사용자가 Google 로그인
Google → authorization code 반환
=> Google 에서 로그인 후 Authorication Code 를 우리 시스템의 callback URL 로 반환
(/login/oauth2/code/google) 로 반환
Spring Security 서버 → access token 요청 (autho)
=> Spring Security 의 OAuth2LoginAuthenticationFilter 가 Authorication Code 를 Google 에 전송해
Access Token 획득
access token 으로 사용자 정보 요청
=> Access Token 으로 Google 사용자 정보(이메일, 프로필 등) 로드 후 세션 생성
Spring Security → 로그인 완료

사용자 → Spring Boot (/oauth2/authorization/google)
     ↓
Spring Security → Google Auth Server (리다이렉트)
     ↓
Google → Spring Boot (/login/oauth2/code/google?code=ABC123)  
     ↓  
Spring Security → Google (code=ABC123 → access_token 교환) ✓
     ↓
Spring Security → 사용자 정보 로드 → 로그인 성공!

요약

Authorization Code → Access Token → User Info

4️⃣ Spring Security에서 OAuth2

Spring Boot 에서는 spring-security-oauth2-client 로 쉽게 구현한다.

Spring Security 는 spring-boot-starter-oauth2-client 와 spring-security-oauth2 의존성을 추가하면

OAuth2 로그인을 쉽게 설정할 수 있다. 사용자가 소셜 로그인 버튼을 클릭하면

/oauth2/authorization/{provider} 로 요청이 가고, OAuth2LoginAuthenticationFilter 가 Authorization Code 를 받아

Access Token 을 교환한 후 사용자 정보를 로드한다.

주요 구성 요소

ClientRegistration: application.yml 에서 client-id, client-secret, redirect-uri 등을 등록한다.
OAuth2UserService: loadUser() 에서 외부 사용자 정보를 커스텀 처리(예 : DB 저장)
SecurityConfig: .oauth2Login() 으로 필터 체인에 OAuth2 를 추가하고, 성공/실패 핸들러를 정의한다.

application.yml 설정 예시

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: your-client-id
            client-secret: your-secret
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"

컨트롤러 없이도 로그인이 가능하다

접근 URL : /oauth2/authorication/google

5️⃣ OAuth2 vs JWT (헷갈리는 부분)

구분	OAuth2	JWT
역할	권한 위임 프로토콜	토큰 포맷
목적	외부 인증	인증 정보 전달
예	Google 로그인	access token

6️⃣ Spring Security에서 많이 사용하는 방식

OAuth2 Login
      ↓
사용자 정보 가져옴
      ↓
우리 DB에 사용자 저장
      ↓
JWT 발급
      ↓
JWT로 API 인증

즉

OAuth2 = 로그인
JWT = API 인증

7️⃣ OAuth2를 사용하는 대표 서비스

Google Login
Kakao Login
Naver Login
Apple Login
GitHub Login

Spring Security에서 OAuth2 핵심

외부 인증 서버에게 로그인을 맡기고
우리 서버는 토큰만 받아 인증 처리!

HandlerMethodArgumentResolver 란?

Z_Z — Wed, 7 Jan 2026 16:44:34 +0900

HandlerMethodArgumentResolver 란?

컨트롤러 메서드의 파라미터를 직접 해석해서 객체로 만들어주는 확장 포인트 인터페이스다

쉽게 말해, Spring MVC 에서 컨트롤러 메서드의 매개변수를 HTTP 요청에서 실제 인자 값으로

변환하는 인터페이스이다.

DispatcherServlet 이 HandlerMapping 에서 적절한 Mapping URL 을 찾아내고 HanlderAdapter 를 통해

적절한 컨트롤러 메서드를 호출한다.

여기서 컨트롤러 메서드를 호출하기 전 @RequestParam, @PathVariable, @RequestBody 등의 데이터들을

가공하거나 커스터마이징할 때 사용한다.

1️⃣ 왜 필요한가? (사용 이유)

@GetMapping("/users")
public String users(
    @RequestParam String id,
    @RequestHeader("Authorization") String token,
    HttpServletRequest request
)

❌ 문제점

컨트롤러마다 같은 파라미터 파싱 코드 반복
인증 정보, 사용자 정보, 헤더 값 처리 로직이 컨트롤러에 섞임
테스트 어려움 / 관심사 분리 안됨

그래서

컨트롤러 파라미터 하나로 의미 있는 객체를 자동 주입하고 싶을 때 HandlerMethodArgumentResolver를 사용한다.

2️⃣ HandlerMethodArgumentResolver 인터페이스

public interface HandlerMethodArgumentResolver {

    boolean supportsParameter(MethodParameter parameter);

    Object resolveArgument(
        MethodParameter parameter,
        ModelAndViewContainer mavContainer,
        NativeWebRequest webRequest,
        WebDataBinderFactory binderFactory
    ) throws Exception;
}

핵심 메서드 2개

메서드	역할
supportsParameter()	이 파라미터를 내가 처리할 수 있는지 판단
resolveArgument()	실제로 파라미터 객체를 만들어 반환

3️⃣ 동작 흐름 (중요 ⭐)

HTTP 요청
 ↓
DispatcherServlet
 ↓
HandlerMapping
 ↓
HandlerAdapter (Interceptor 처리 후 ArgumentResolver 체인 실행)
 ↓
컨트롤러 메서드 호출 전
 ↓
HandlerMethodArgumentResolver 목록 순회
   └ supportsParameter() == true ?
        └ resolveArgument() 실행
 ↓
컨트롤러 메서드 실행

컨트롤러는 파라미터 생성 과정을 전혀 모른다.

4️⃣ 실제 예제 (가장 이해 잘 되는 예)

목표

@GetMapping("/me")
public String me(@LoginUser User user) {
    return user.getName();
}

4-1️⃣ 커스텀 어노테이션

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {
}

4-2️⃣ Resolver 구현

@Component
public class CustomResolver implements HandlerMethodArgumentResolver {

	@Override
	public boolean supportsParameter(MethodParameter parameter) {
		System.out.println("parameter === "+parameter.getParameterName());
		System.out.println("parameter === "+parameter.getParameterType());
		System.out.println("parameter === "+parameter.getParameterType().equals(int.class));
		return parameter.hasMethodAnnotation(LoginUser.class);
	}

	@Override
	public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
			NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
		HttpServletRequest request =
            (HttpServletRequest) webRequest.getNativeRequest();

        // 예: 세션에서 사용자 조회
        HttpSession session = request.getSession(false);
        return session != null ? session.getAttribute("LOGIN_USER") : null;
	}
}

4-3️⃣ Spring MVC에 등록

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
	
	@Autowired
	CustomResolver customResolver;
	
	@Override
	public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
		resolvers.add(customResolver);
	}
}

4-4️⃣ 컨트롤러 사용

@GetMapping("/me")
public String me(@LoginUser User user) {
    return user.getName();
}

컨트롤러 메서드에 오기전에 파라미터에 대한 공통 작업들을 처리해놓으면 깔끔해진다.

5️⃣ 언제 쓰면 좋은가?

✅ 쓰면 좋은 경우

로그인 사용자 주입(@LoginUser)
JWT → User 객체 변환
공통 헤더 파싱( @ClientIp, @ApiVersion )
Request → 도메인 객체 변환 로직이 반복될 때

❌ 굳이 안 써도 되는 경우

단순 @RequestParam, @PathVariable
컨트롤러마다 다른 파싱 로직
일회성 처리

6️⃣ Spring Security 와의 관계 (중요)

public String test(@AuthenticationPrincipal UserDetails user)

➡ 내부적으로 HandlerMethodArgumentResolver 구현체가 있음

중꺾마

HttpSessionEventPublisher

HttpSessionEventPublisher

왜 필요한가

내부 동작 흐름

실제 클래스 구조

등록 방법(Spring Boot 3)

ApplicationListener<SessionDestroyedEvent>

ApplicationListener<SessionDestroyedEvent> 란?

SessionDestroyedEvent

보통 같이 필요한 것(HttpSessionEventPublisher)

왜 필요하냐?

간단 예시

OpenCode 란?

OpenCode 란?

핵심기능

아키텍처ㆍ확장성

GitHub Copilot이랑 차이

실제 개발에서 많이 쓰는 기능

장점

단점

Spring WebMvcConfigurer

Spring MVC 기본 동작을 갈아엎지 않고 필요한 부분만 커스터마이징하는 인터페이스이다✅ 1. 어디에 쓰는가?

Spring Boot WebMvcConfigurer addResourceHandlers 설정

WebMvcConfigurer 설정

어떻게 동작하냐 (핵심)

Javascript 접근성 경고(focus management)

blur()

async await 사용 시 promise 의 resolve 와 return; 차이

new Promise 함수 예시

해결 방법 3가지

호출 측 처리

img 태그 src 속성 아이폰 브라우저 CORS 문제 해결

Spring Security OAuth2.0

1️⃣ OAuth 2.0이란 무엇인가?

2️⃣ OAuth 2.0 주요 구성요소

3️⃣ OAuth2 로그인 흐름 (Spring Security 기준)

4️⃣ Spring Security에서 OAuth2

5️⃣ OAuth2 vs JWT (헷갈리는 부분)

6️⃣ Spring Security에서 많이 사용하는 방식

7️⃣ OAuth2를 사용하는 대표 서비스

Spring Security에서 OAuth2 핵심

HandlerMethodArgumentResolver 란?

HandlerMethodArgumentResolver 란?

1️⃣ 왜 필요한가? (사용 이유)

2️⃣ HandlerMethodArgumentResolver 인터페이스

3️⃣ 동작 흐름 (중요 ⭐)

4️⃣ 실제 예제 (가장 이해 잘 되는 예)

5️⃣ 언제 쓰면 좋은가?

6️⃣ Spring Security 와의 관계 (중요)

Spring MVC 기본 동작을 갈아엎지 않고 필요한 부분만 커스터마이징하는 인터페이스이다

✅ 1. 어디에 쓰는가?