• 주체(Principal) : 유저, 인증가 인가의 대상이 되는 주체
• 인증(Authentication): 특정 리소스에 접근을 요청한 주체의 신분을 증명하는 과정. 신원 증명을 할 수 있는 정보(credentials)를 받아 인증. 유저일 경우 비밀번호
• 인가(Authorization): 인증된 주체에게 특정한 리소스에 접근할 수 있도록 권한을 부여하는 과정. role을 통해 부여되는 경우가 보통
• 접근 통제(Access control): 권한에 따른 리소스 접근을 설정.

특징

• 모든 요청에 대해 인증을 요구한다
• 양식 기반의 인증을 허용 (아이디, 비밀번호)
• 사용자의 로그아웃을 허용
• CSRF 방지
• Session Fixation 방지
• 보안 헤더 통합
  • HSTS 강화
  • X-Content-TypeOptions
  • 캐시 컨트롤(정적 리소스 캐싱)
  • X-XSS-Protection; XSS 보안(스크립트 공격 보안)
• Clickjacking을 방지, X-Frame 옵션 통합
• Servlet API 제공