🎈논문 요약 플랫폼(캡스톤) - 2(OAuth2 + JWT 인증 시스템)

---

개요

우선 우리 프로젝트는 별도의 로그인/회원가입 절차 없이 요즘 많이 사용하는 Oauth2방식을 사용하기로 결정했다. 이유는 프론트 쪽 구현할 때도 작업할 양 자체가 줄어들기도 하고 나도 공부하면서 할 수 있을 것 같았다.

기본 목표

Github OAuth로 로그인한 사용자를 받아, 서비스에 등록하고, JWT 토큰을 발급해서 API 호출할 때마다 인증하는 시스템을 구성할 계획이다.

큰 흐름 보기

1. Client 사용자가 “GitHub 로그인 버튼 클릭” -> /api/auth/github 요청
2. GitHub OAuth 화면으로 리다이렉트
3. 사용자 GitHub 로그인 후 인증 코드 발급
4. /api/auth/github/callback?code=인증코드 호출
5. 인증코드로 GitHub AccessToken 요청
6. GitHub 사용자 정보 조회
7. DB에 사용자 저장 또는 업데이트
8. JWT AccessToken, RefreshToken 발급
9. 클라이언트 저장 후 이후 요청 시 Authorization Bearer 토큰으로 인증

주요 개념

OAuth란?

쉽게 말하면 다른 서비스에 로그인한 계정으로 우리 서비스를 이용하는 것을 말한다. 직접 우리 서비스에 아이디 비번을 입력하지 않는방식이다

JWT(Json Web Token)란?

사용자가 인증되었음을 증명하는 “디지털 토큰”을 말한다. 별도의 DB 조회없이도 아 이 토큰을 가지고있으니 이 사용자는 인증 받은 사용자야 라고 알 수 있다.

핵심 구조 요약

주요 동작 자세히..

GitHub 로그인 시작

• /api/auth/github 호출
• 지정된 OAuth 제공자에 대한 인증 URL 반환해준다 -> 여기선 GITHUB
• OAuth 제공자가 우선 지금은 github로만 되어있는데 더 추가될 수도 있어서 factory를 만들어서 미리 등록을 시켜두고, 필요한거 꺼내서 쓰도록 구현을 했다.
• 로그인 url을 생성하는 과정. 사용자가 GitHub에 로그인하러 갈 수 있도록 적절한 쿼리파라미터를 붙인 URL 을 만들어준다
• .encode를 지정해주지 않으면 URI.create() 할 때 “user:email read:user”이렇게 그대로 들어가게 돼서 오류가 난다. https://github.com/login/oauth/authorize?client_id=xxx&redirect_uri=xxx&scope=user:email%20read:user -> 사용자의 이메일이랑 기본 사용자 정보만 읽어오는

이제 리다이렉트되서 github OAuth로 이동함

GitHub 콜백 수신

• 사용자가 로그인 성공하면 code가 담겨서 /api/auth/github/callback?code=xxx로 이동한다.
• 서버가 이 코드를 이용해서
  • AccessToken 요청
  • 사용자 정보 조회
  • DB에 사용자 저장 그리고 JWT 토큰을 발급해서 클라이언트에 전달한다.

• 인증 코드를 github에게 post 요청을 보내서 아까 받은 code를 access_token으로 바꾼다.
• 이제 access token을 Authorization 헤더에 넣고 github api 호출해서 로그인한 사용자의 정보를 받아온다.

  1 2 3 4 5 6 7

  { "id": 123456, "name": "홍길동", "login": "hong", "email": "hong@example.com", "avatar_url": "https://avatars.githubusercontent.com/u/123456?v=4" }

• 그다음 사용자 정보를 Member로 변환한다. -> DB에 사용자 정보 저장
• 이제 인증 객체를 생성한다.
  • Spring Security가 요구하는 표준 사용자 정보 포맷을 맞춰서 Spring Security가 이해할 수 있도록 변환한다. => “이 사람은 provierUid를 아이디로 가진 사용자이고, 역할은 ROLE_XXX야”
  • 이제 이 사용자가 누군지, 어떤 권한을 가졌는지 Spring Security가 알 수 있게 되었다.
• 그다음 JWT 토큰을 생성하고 TokenDto로 묶어서 반환한다.
  • TokenDto에는 accessToken(액세스 토큰), refreshToken(리프레시 토큰), tokenType(Bearer 일반적으로), expriresln(만료시갖 (초))

API 요청시 인증 처리

• 이제 클라이언트는 이후 모든 API 요청에 Authorization: Bearer {accessToken} 헤더를 붙여서 보낸다.(로그인 안한 사용자도 볼 수 있는 경로는 제외하고)
• JwtAuthenticationFilter 가 이 토큰을 읽어서
  • 유효한지 검증
  • 사용자 인증(Authentication 객체 생성)해서 SecurityContextHolder에 저장
• 그래서 이후 서비스 로직에서 누가 요청했는지 바로 알 수 있다.

JWTAuthenticatinFilter

• 모든 HTTP 요청은 이 필터를 지나간다.
  • Authorization 헤더가 없거나 Bearer 로 시작하지 않으면 null를 반환한다.(인증 시도 자체를 안한다)
  • Bearer eyJhbGciOiJIUzUxMiJ9... -> eyJhbGciOiJIUzUxMiJ9… 이 토큰만 추출한다.
• 유효한 토큰이면
  • JWT를 파싱해서 Claims(=안에 담긴 데이터)를 꺼내고
  • Claims에서 권한 정보를 꺼내고
  • Claims에서 사용자 ID를 꺼내고
  • UserDetails 객체 생성하고
  • UsernamePasswordAuthenticationToken으로 감싸서 반환을 한다.
• 인증 정보 저장을 한다.(SecurityContextHolder.getContext().setAuthentication(authentication))
  • SpringSecurity는 요청 하나하나마다 SecurityContext를 들고 관리를 하는데 여기다가 “이 요청은 어떤 사용자가 보냈다”는 정보를 저장을 한다.
  • 이후에 서비스 레이어 에서는 현재 로그인한 사용자를 꺼내서 사용할 수 있게 된다.
• 이제 인증이 성공한 후에 필터 체인 다음단계로 넘어가면서 컨트롤러에 진입한다.

@Authenticated 사용(커스텀 Annotation)

• 특정 Api에서 는 @Authenticated를 붙여서 Authrization 헤더의 JWT 안에 있는 사용자 ID를 바로 꺼내서 쓸 수 있게 했다.
• 인증정보를 주입 받을 수 있게 되엇다.