Spring Security + JWT 회원가입, 로그인 (2)

Spring 2022. 10. 23. 16:13

🎈 지난 게시글에선 Spring Security의 구조와 필요한 Settings을 다뤘습니다.
이어서 Security에 필요한 Class들을 다뤄보겠습니다.

지난 포스팅은 아래 링크를 참조 하시길 바랍니다.

https://developer-been.tistory.com/2

Spring Security + JWT 회원가입, 로그인 (1)

해당 포스팅은 Spring Secuiry + JWT + JPA 를 이용해 회원가입, 로그인 관련 예제 입니다. 환경 : Spring boot(2.5.5) + Mysql Spring Security 영역 인증(Authentication)과 권한(Authorization) 인증(Authentication) : 보호된 리

developer-been.tistory.com

📌 인증 구조 순서

1️⃣ (Login → Jwt Token 발급된 상태) API 요청
2️⃣ WebSecurityConfig에서 configure에 addFilterBefore()로 설정한
Authentication Filter 접근
3️⃣ JwtAuthenticationFilter → Jwt Token 검증
4️⃣ 검증이 완료 됬다면, getAuthentication()을 통해서 UserDetailService 실행
→ DB에서 member 조회→ Security의 User객체를 상속받은 MemberAccount 객체 return
5️⃣ 위 과정 통해 UsernamePasswordAuthenticationToken 생성 후,
SecurityContextHolder의 context에 Authentication을 Set.
6️⃣ DispatcherServlet 전달

시작하기

📌 MemberAccount.java

@Getter
@EqualsAndHashCode(callSuper =false)
public class MemberAccount extends User {

private Member member;

public MemberAccount(Member member) {
	super(member.getPhoneNum(), member.getPassword(), Collections.singletonList
			 (newSimpleGrantedAuthority(member.getRoles().get(0))));
	this.member = member;
  }
}

Member의 Adapter Class
@AuthenticationPrincipal 를 통해(SpEL) Principal 내부 정보에 접근 할 수 있습니다.
@AuthenticationPrincipal(expression = "#this == 'anonymousUser' ? null : member")
-> 익명 사용자인 경우엔 null 리턴
-> 인증된 주체인 경우 member 객체 리턴

💡 즉, Principal의 내부 정보에 접근할 수 있는 Custom Anotation 생성 위한 Adapter Class

📌 CustomUserDetails Class 생성 (CustomUserDetails.java)

@RequiredArgsConstructor
@Service
public class CustomUserDetailService implements UserDetailsService {

    private final MemberRepository memberRepository;

    @Override
    public UserDetails loadUserByUsername(String phoneNum) throws UsernameNotFoundException {
        Member member = memberRepository.findByPhoneNum(phoneNum)
                .orElseThrow(() -> new UsernameNotFoundException("사용자를 찾을 수 없습니다."));

        return new MemberAccount(member);
    }
}

Security의 UserDetailsService를 구현한 클래스 입니다. (UserService라고 이해하면 쉬움)
loadUserByUsername() : DB에서 유저 정보를 불러오는 중요한 오버라이드 메소드입니다.
만약 해당 username의 사용자 정보가 없다면 UsernameNotFoundException 예외를 던져줍니다.

💡 MemberAccount(Free Naming)를 return 하는 이유
→ Spring Security가 다루는 유저 정보와 도메인에서 다루는 유저 정보 사이 갭을 매꿔주는 일종의 어댑터 역할을 합니다.

📌 JWT 검증 필터 정의 (JwtAuthenticationFilter.java)

@RequiredArgsConstructor
public class JwtAuthenticationFilter extends GenericFilterBean {

private final JwtTokenProvider jwtTokenProvider;

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

      // 1️⃣ 헤더에서 JWT 받아오기
      String accessToken = jwtTokenProvider.resolveToken((HttpServletRequest) request);

      // 2️⃣ 유효 토큰 검증
      if (accessToken !=null && jwtTokenProvider.validateToken(accessToken, (HttpServletRequest) request)) {
              // 3️⃣ 토큰 유효시 유저 정보 받아오기
              Authentication authentication = jwtTokenProvider.getAuthentication(accessToken);

              // 4️⃣ SecurityContext에 Authentication 객체를 저장
              SecurityContextHolder.getContext().setAuthentication(authentication);
      }

   5️⃣ chain.doFilter(request, response);
 
   }
}

해당 클래스는 Custom AuthenticationFilter 입니다. (Servlet단에서 처리)
GenericFilterBean을 상속 받은 Filter Class 생성
오버라이딩 한 doFilter 함수 정의
최종적으로 5️⃣ chain.doFilter() 메서드를 통해 DispatcherServlet으로 넘어가게 됩니다.

📌 JwtTokenProvider Class 생성 (JwtTokenProvider.java)

세션-쿠키 기반의 방식이 아닌, JWT를 사용하기 위해서 토큰 발행,검증을 할 수 있는 모듈이 있어야 합니다.
Jwt 생성, 검증 등 함수를 정의한 컴포넌트 생성
아래 명시한 1️⃣~7️⃣번 함수들 정의

@Slf4j
@RequiredArgsConstructor
@Component
public class JwtTokenProvider {

// 보안을 위해 appplication.properties에 저장한 key
@Value("${project.jwt.access-token-key}") 
privateString accessTokenKey;

private final CustomUserDetailService userDetailsService;
private final MemberRepository memberRepository;
private final TokenRepository tokenRepository;


// 유효시간 : AccessToken: 5분 / RefreshToken: 7일 설정.
private longACCESS_TOKEN_EXPIRE_TIME = 5 * 60 * 1000L;
private longREFRESH_TOKEN_EXPIRE_TIME = 60 * 60 * 24 * 7 * 1000L;

@PostConstruct
protected void init() {
        accessTokenKey = Base64.getEncoder().encodeToString(accessTokenKey.getBy
				tes(StandardCharsets.UTF_8));
}

... 아래에 순차적으로 명시한 함수들 정의

}

AccessToken Expired Time : 5분 / RefreshToken Expired Time : 7일 설정
accessTokenkey를 Base64로 인코딩

💡 @PostConstruct

객체의 초기화 부분

객체가 생성된 후 별도의 초기화 작업을 위해 실행하는 메소드를 선언한다.

@PostConstruct 어노테이션을 설정해놓은 init 메소드는 WAS가 띄워질 때 실행된다.

1️⃣ JWT 발급 (JwtTokenProvider.java)

public JwtTokensVO createToken(String userPk, List<String> roles) {

  // Header 부분 설정
  Map<String, Object> headers = new HashMap<>();
  headers.put("typ", "JWT");
  headers.put("alg", "HS256");

  // 토큰 Builder
  Claims claims = Jwts.claims().setSubject(userPk); // JWT payLoad에 저장되는 정보단위
  claims.put("roles", roles); // key, value 쌍으로 정보 저장

  Date now = new Date();

  Date accessDate = new Date(now.getTime() + ACCESS_TOKEN_EXPIRE_TIME);
  Date refreshDate = new Date(now.getTime() + REFRESH_TOKEN_EXPIRE_TIME);

  return JwtTokensVO.builder()
            .accessToken(generateToken(headers, claims, now, accessDate))
            .refreshToken(generateToken(headers, claims, now, refreshDate))
            .accessTokenExpirationDate(accessDate)
            .refreshTokenExpirationDate(refreshDate)
            .build();
}

Header : HS256 암호화 방식의 JWT 명시
Claims : subject(토큰 제목)에 userPk 저장 → 여기서는 로그인 아이디 (휴대폰 번호)
roles : 사용자 권한 저장
AccessToken : 5분 | RefreshToken : 7일
JwtTokensVO 클래스 build

2️⃣ JWT 생성 (JwtTokenProvider.java)

public String generateToken(Map<String, Object> headers, Claims claims, Date now, Date expirationDt) {

  return Jwts.builder()
          .setHeader(headers)
          .setClaims(claims)// 정보 저장
          .setIssuedAt(now)// 토큰 발행 시간 정보
          .setExpiration(expirationDt)// set Expire Time
          .signWith(SignatureAlgorithm.HS256, accessTokenKey)// set algorithm, signature secret 값
          .compact();
}

accessToken, refreshToken 생성을 위해 공통 처리한 함수

3️⃣ JWT에서 회원 정보 추출 (JwtTokenProvider.java)

public String getUserPk(String token) {
	return Jwts.parser().setSigningKey(accessTokenKey).parseClaimsJws(token).getBo
	dy().getSubject();
}

accessTokenKey로 서명, token value로 Claims의 subject 값(저장해둔 로그인 아이디) return

4️⃣ JWT 토큰에서 인증 정보 조회 (JwtTokenProvider.java)

public Authentication getAuthentication(String token) {
    UserDetails userDetails = userDetailsService.loadUserByUsername(this.getUser      
    Pk(token));
    
    return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities());
}

UserDetailService의 loadUserByUsername 메서드의 인자로 getUser(String token) 함수 호출
UsernamePasswordAuthenticationToken return

5️⃣ Request Header에서 Token 값 가져오기 (JwtTokenProvider.java)

public String resolveToken(HttpServletRequest request) {
  return request.getHeader("X-AUTH-TOKEN");
}

API 요청시 Header에 Token을 담아서 요청을 하게 됩니다.
“X-AUTH-TOKEN” : “TOKEN VALUE” 형식일 때, “X-AUTH-TOKEN” 값을 가져옵니다.

6️⃣ 토큰유효성 + 만료일자 확인 (JwtTokenProvider.java)

public boolean validateToken(String jwtToken, HttpServletRequest request) {

  try {
        Jws<Claims> claims = Jwts.parser().setSigningKey(accessTokenKey).parseClaimsJws(jwtToken);
        return !claims.getBody().getExpiration().before(new Date());
    } catch (SignatureException ex) {
        log.error("Invalid JWT Signature");
        request.setAttribute("exception", "invalidSignature");
        return false;
    } catch (MalformedJwtException ex) {
        log.error("Invalid JWT token");
        request.setAttribute("exception", "invalidJwt");
        return false;
    } catch (ExpiredJwtException ex) {
        log.error("Expired JWT token");
        request.setAttribute("exception", "expiredJwt");
        return false;
    } catch (UnsupportedJwtException ex) {
        log.error("Unsupported JWT exception");
        request.setAttribute("exception", "unsupportedJwt");
        return false;
    } catch (IllegalArgumentException ex) {
        log.error("Jwt claims string is empty");
        request.setAttribute("exception", "claimsEmpty");
        return false;
    }
}

accessTokenKey로 서명, token value로 조회한 Claims의 만료시간을 현재날짜와 비교
Jwt 관련 Exception 발생시 Filter에서 발생한 Exception은 Spring의 DispatcherServlet까지 닿을 수가 없기 때문에 사용자 정의 Exception을 처리할 수 없습니다.

💡 JWT 관련 Exception 목록

SignatureException : Invalid Signature

MalformedJwtException : Invalid JWT

ExpiredJwtException : Expired JWT

UnsupportedJwtException : Unsupported Exception

IllegalArgumentException : Empty JWT Claims stirng

*** 해결 방안 (해당 부분은 여기를 참조하세요.) ***

에러 발생시 request의 attribute에 각 에러 정보 Set
Security Config 부분에 설정한 EntryPoint → customAuthenticationEntryPoint에서 핸들링

7️⃣ Access Token 갱신 (JwtTokenProvider.java)

public BaseResDto refreshAccessToken(HttpServletRequest request, String refreshToken) throws ServiceException {

	if (validateToken(refreshToken, request)) {
        	String phoneNum = getUserPk(refreshToken);
	        Member member = memberRepository.findByPhoneNum(phoneNum)
	                	.orElseThrow(() -> new ServiceException(ResultCode.MEMBER_NOT_EXIST));

		if(0 == tokenRepository.countByTokenValueAndMemberId(refreshToken, member.getMemberId())) {
                	throw new ServiceException(ResultCode.REFRESH_TOKEN_EXPIRED);
                }

                TokenResDto tokenResDto = new TokenResDto();
                JwtTokensVO jwtTokensVO = createToken(member.getUsername(), member.getRoles());

                tokenResDto.setAccessToken(jwtTokensVO.getAccessToken());
                tokenResDto.setRefreshToken(jwtTokensVO.getRefreshToken());

                tokenRepository.deleteByMemberId(member.getMemberId());

                Token token =new Token();

                token.setTokenValue(jwtTokensVO.getRefreshToken());
                token.setMemberId(member.getMemberId());
                token.setExpiredDt(jwtTokensVO.getRefreshTokenExpirationDate());

                tokenRepository.save(token);

	        return tokenResDto;
       } else {
		throw new ServiceException(ResultCode.REFRESH_TOKEN_EXPIRED);
       }
}

ServiceException : 공통 @ExceptionHandler Handler (사용자 정의)
memberRepository : 회원 Repository
tokenRepository : 토큰 Repository
BaseResDto : 사용자 정의 객체 (resultCode, resultMessage)

.orElseThrow(() -> new ServiceException(ResultCode.MEMBER_NOT_EXIST));

Jpa Query Method에서 Exception 발생시 커스텀한 에러 핸들러를 통해 Reponse 출력

Spring Boot 에서 공통 에러 핸들링 방법이 궁금하신분은 여기를 참조해주세요.

Spring Boot 공통 Global Exception Handler

🎈 Spring에서 전역적으로 Exception을 처리하는 방법을 포스팅한다. 예외를 처리하는 방법은 다양하게 있다. 1. 메서드 내 예외 상황을 예측하여 try-catch문 사용 2. 요구사항에 대한 예외 처리 (validat

developer-been.tistory.com

💡 진행 과정
1️⃣ validateToken() 함수 호출
2️⃣ getUserPK() 함수로 token claim subject (여기서는 핸드폰번호) 값 얻은 뒤, 회원 조회
3️⃣ createToken() 함수로 accessToken, refreshToken 갱신
4️⃣ DB에서 기존 refreshToekn 삭제, 새로운 refreshToken 추가
5️⃣ tokenResDto Return
6️⃣ 만약 validateToken() 함수로 검증에 실패했을 경우 refreshToken 만료 Exception을 던집니다.

다음 포스팅에서 이어 가겠습니다.

https://developer-been.tistory.com/4

Spring Security + JWT 회원가입, 로그인 (3)

💡 지난 포스트에 이어서 Security의 403 Forbidden 에러를 핸들링 하는 Class를 설정해보겠습니다. Spring Security는 AccessDeniedHandler인터페이스와 AuthenticationEntryPoint인터페이스가 존재합니다. 💡 AccessDenie

developer-been.tistory.com

Reference:

https://to-dy.tistory.com/86

'Spring' 카테고리의 다른 글

[Spring] Spring에서 CORS 처리(설정)하는 방법 (0)	2022.10.27
[Spring] Spring에서 Scheduler 처리하기 (0)	2022.10.26
Spring Boot 공통 Global Exception Handler (0)	2022.10.23
Spring Security + JWT 회원가입, 로그인 (3) (0)	2022.10.23
Spring Security + JWT 회원가입, 로그인 (1) (0)	2022.10.23

ABOUT ME

It's better to record than remember

시작하기

'Spring' 카테고리의 다른 글

티스토리툴바

ABOUT ME

시작하기

'Spring' 카테고리의 다른 글

관련글 관련글 더보기

티스토리툴바