KUKJIN LEE
posted 17 hours ago
[Spring Boot Security] OAuth2와 JWT에 대해서 알아보자
OAuth2와 JWT(JSON Web Token)은 웹 애플리케이션 인증과 인가를 처리하는 데 많이 사용되는 기술입니다.
인증과 권한 부여를 효율적으로 처리하는 데 중요한 역할을 합니다. Spring Boot Security는 OAuth2로그인을 간단히 설정할 수 있게 하고, JWT를 이용해 RESTful 서비스에서 인증을 유지할 수 있는 강력한 기능을 제공합니다.
1. OAuth2 설정 및 활용
1.1 OAuth2란? 사용자 인증과 권한 부여를 위한 표준 프로토콜입니다. 이를 통해 사용자는 자격증명을 공유하지 않고도 제3자 애플리케이션이 자신의 리소스에 접근할 수 있도록 허용할 수 있습니다.
1.2 Spring Security에서 OAuth2 로그인을 설정하려면 application.yml 또는 application.properties 파일에 클라이언트 등록 정보를 추가하고, Security설정에서 OAuth2를 활성화합니다. 예시(Github OAuth2)
spring:
security:
oauth2:
client:
registration:
github:
client-id: your-client-id
client-secret: your-client-secret
scope: read:user
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
client-name: GitHub이후 보안 설정 클래스에서 OAuth2 로그인을 활성화해주면 됩니다.
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.oauth2Login(); // OAuth2 로그인 활성화
}2. JWT (JSON Web Token)
2.1 JSON 기반의 액세스 토큰으로, 사용자 인증 및 권한 부여 정보를 인코딩하여 안전하게 전달하는 데 사용됩니다. JWT는 서명되어 있어 정보의 무결성을 보장하며, RESTful 서비스에서 많이 사용됩니다.
2.2 JWT 구조
-
Header: 토큰의 타입과 서명 알고리즘 정보를 포함합니다.
-
Payload: 사용자 정보와 클레임을 포함합니다.
-
Signature: Header와 Payload를 결합하여 비밀 키로 서명한 값입니다.
2.3 JWT를 사용해 인증을 처리하려면, JWT 필터를 생성하고 보안 필터 체인에 등록해야 합니다.
-
사용자가 로그인하면 서버는 사용자 정보를 검증하고
JWT토큰을 생성합니다. -
클라이언트는 이후 요청 시
JWT토큰을 HTTP 헤더에 포함하여 서버에 전송합니다. -
서버는 해당 토큰을 검증하여 사용자의 인증 정보를 확인합니다.
2.4 io.jsonwebtoken 라이브러리를 사용한 간단 예시
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtil {
private String secretKey = "mySecretKey";
public String generateToken(String username) {
return Jwts.builder()
.setSubject(username)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60)) // 1시간 유효
.signWith(SignatureAlgorithm.HS256, secretKey)
.compact();
}
}JWT 검증을 위해 필터를 생성하고 보안 설정에 등록합니다.
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
String authorizationHeader = request.getHeader("Authorization");
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
String token = authorizationHeader.substring(7);
// 토큰 검증 로직 추가
}
filterChain.doFilter(request, response);
}
}3. OAuth2와 JWT 결합하기
3.1 OAuth2와 JWT 결합하면 소셜 로그인을 통해 인증받은 사용자에게도 JWT를 발급하여 RESTful API에서 인증 수단으로 사용할 수 있습니다. Spring Security OAuth2 클라이언트를 사용해 인증된 사용자를 위한 JWT를 생성하고, 이후 요청에 사용할 수 있도록 구성합니다.
