TIL Spring #3-1

[인증과 인가]

쿠키와 세션

JWT

---

 

<짤막한 bean>

혹시, bean을 수동으로 등록해야되는 경우도 있을까? 

기술적인 문제나 공통 관심사를 처리할 때 사용하는 객체는 수동으로 bean을 등록해주는 것이 좋다. (비교적 부가적인 것)

- @Component 말고 메서드에 @Bean 애너테이션 추가해주면 된다~!

---

인증/인가

인증: 해당 유저가 실제 유저인지 인증하는 것 ex)로그인

인가: 해당 유저가 특정 리소스에 접근이 가능한지 허가를 확인하는 것 ex)비회원로그인

 

<웹 애플리케이션 인증>

- 일반전으로 서버-클라이언트 구조로 되어있고, 실제로 이 두가지는 멀리 떨어져있다.

- HTTP 프로토콜을 이용하여 통신하는데, 그 통신은 비연결성과 무상태로 이루어진다.

 

쉽게 말해, 몇가지 경우를 제외하곤 서버와 클라이언트는 실제로 연결되어 있는 것이 아니다. (서버 비용 문제)

하지만 우리가 사용했을 때는 일련의 처리 과정이 연결되어 있다고 느껴진다. 어떻게 가능할까?

 

# 유저가 인증하는 방법을 예로 들어보자

 

인증 방식에는 크게 두가지가 있다.

 

1. 쿠키-세션 방식

 

:'세션저장소' 라는 개념이 존재하고 클라이언트가 로그인을 해서 통과했을 때 서버로부터 세션아이디를 발급받게 되고

클라이언트는 해당 sessin-id 를 '쿠키'라는 저장소에 보관하고 다음 요청을 할 때마다 session-id를 같이 보낸다.(http header)

 

애초에 세션아이디 발급해줄 때 그걸 쿠키에 담아서 주는건가? 그 다음에 클라이언트가 계속해서 그걸 쓰고?

아닌데? 세션아이디 없이 애초에 클라이언트가 쿠키 자체를 갖고 있는건가?

 

<쿠키>

- 클라이언트에 저장될 목적으로 생성한 정보를 담은 파일

- 여러 구성 요소가 있는데 가장 중요한 부분은 name, value 이다.

•  name: 쿠키를 식별하는데 사용되는 키 (중복 x)
•  value: 쿠키의 값

 

<세션>

• 서버에서 일정시간동안 클라이언트 상태를 유지하기 위해 사용한다.
• 서버에서 클라이언트별로 유일무이한 '세션ID'를 부여한 후 클라이언트 별 필요한 정보를 서버에 저장!
• 해당 ID는 클라이언트의 쿠키값(세션쿠키)으로 저장되어 클라이언트 식별에 사용된다.

 

2. JWT (JSON Web Token)

: 인증에 필요한 정보를 암호화시킨 토큰이다. 1번 방식과 유사하게 해당 토큰(JSON 형태의 claim 기반 토큰임)으로 서버가 클라이언트를 식별한다.

 

-서버에서 로그인 정보를 저장하는 것이 아닌 로그인 정보를 secret key를 사용해 JWT로 암호화한다. 해당 JWT 토큰을 통해 인증/인가를 처리한다.

JWT 토큰 예

 

<사용 흐름>

1. 클라이언트 로그인 성공 시

- 서버에서 로그인 정보를 JWT로 암호화한다.

- 그리고 직접 쿠키를 생성, JWT를 담아 Client 응답에 전달한다.

- 브라우저 쿠키 저장소에 자동으로 해당 JWT 저장된다.

 

2. Client에서 JWT를 통해 인증하는 방식은?

- 클라이언트가 API 요청 시 서버에서는 매 요청마다 쿠키에 포함된 JWT를 찾는다. (쿠키에는 여러 정보가 담겨 있다. 그 중 JWT가 담긴 쿠키와 이름이 동일한지 확인 후 가져온다.)

 

3.  서버?

- 클라이언트가 전달한 JWT secret key 사용해 위조 여부를 검증 및 해당 토큰의 유효기간을 검증한다.

- 검증 성공 시 해당 토큰에서 user 정보를 가져와 확인한다.

 

JWT

: 누구나 평문으로 복호화가 가능하다. 그러나 secret key가 없으면 JWT 수정이 불가하다.

결국 JWT는 Read only 데이터다.

 

 

JWT 다루기

dependency 추가 및 application properties에 jwt secret key 부분을 추가해주어야 한다.

 

JWT 사용 예)

//가독성을 위해 import 날림

@Component
public class JwtUtil {
    // Header KEY 값
    public static final String AUTHORIZATION_HEADER = "Authorization";
    // 사용자 권한 값의 KEY
    public static final String AUTHORIZATION_KEY = "auth";
    // Token 식별자
    public static final String BEARER_PREFIX = "Bearer ";
    // 토큰 만료시간
    private final long TOKEN_TIME = 60 * 60 * 1000L; // 60분

    @Value("${jwt.secret.key}") // Base64 Encode 한 SecretKey
    private String secretKey;
    private Key key;
    private final SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    // 로그 설정
    public static final Logger logger = LoggerFactory.getLogger("JWT 관련 로그");

    @PostConstruct
    public void init() {
        byte[] bytes = Base64.getDecoder().decode(secretKey);
        key = Keys.hmacShaKeyFor(bytes);
    }

    // 토큰 생성
    public String createToken(String username, UserRoleEnum role) {
        Date date = new Date();

        return BEARER_PREFIX +
                Jwts.builder()
                        .setSubject(username) // 사용자 식별자값(ID)
                        .claim(AUTHORIZATION_KEY, role) // 사용자 권한
                        .setExpiration(new Date(date.getTime() + TOKEN_TIME)) // 만료 시간
                        .setIssuedAt(date) // 발급일
                        .signWith(key, signatureAlgorithm) // 암호화 알고리즘
                        .compact();
    }

    // JWT Cookie 에 저장
    public void addJwtToCookie(String token, HttpServletResponse res) {
        try {
            token = URLEncoder.encode(token, "utf-8").replaceAll("\\+", "%20"); // Cookie Value 에는 공백이 불가능해서 encoding 진행

            Cookie cookie = new Cookie(AUTHORIZATION_HEADER, token); // Name-Value
            cookie.setPath("/");

            // Response 객체에 Cookie 추가
            res.addCookie(cookie);
        } catch (UnsupportedEncodingException e) {
            logger.error(e.getMessage());
        }
    }

    // JWT 토큰 substring
    public String substringToken(String tokenValue) {
        if (StringUtils.hasText(tokenValue) && tokenValue.startsWith(BEARER_PREFIX)) {
            return tokenValue.substring(7);
        }
        logger.error("Not Found Token");
        throw new NullPointerException("Not Found Token");
    }

    // 토큰 검증
    public boolean validateToken(String token) {
        try {
            Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
            return true;
        } catch (SecurityException | MalformedJwtException | SignatureException e) {
            logger.error("Invalid JWT signature, 유효하지 않는 JWT 서명 입니다.");
        } catch (ExpiredJwtException e) {
            logger.error("Expired JWT token, 만료된 JWT token 입니다.");
        } catch (UnsupportedJwtException e) {
            logger.error("Unsupported JWT token, 지원되지 않는 JWT 토큰 입니다.");
        } catch (IllegalArgumentException e) {
            logger.error("JWT claims is empty, 잘못된 JWT 토큰 입니다.");
        }
        return false;
    }

    // 토큰에서 사용자 정보 가져오기
    public Claims getUserInfoFromToken(String token) {
        return Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody();
    }
}