JWT #2

💙 hmacShaKeyFor(byte[] keyBytes)

JWT 서명을 위한 HMAC 키를 안전하게 생성하는 메소드

이 메소드는 JJWT 라이브러리에서 제공되며, JWT를 생성할 때 서명(Signature) 부분에 필요한 키를 만드는데 사용된다.

💚 동작 개념

String secret = ~~;
SecretKey key = Keys.hmacShakeyFor(secret.getBytes));

• secret.getBytes() : 문자열을 바이트 배열로 변환
• hmacShaKeyFor(...) : 바이트 배열의 길이에 따라 HMAC 알고리즘 키 생성

이 메소드는 내부적으로 HMAC-SHA 알고리즘 (HS256, HS384, HS512)을 사용할 수 있는 키를 생성한다.

HMAC-SHA 알고리즘

HMAC (Hash-based Message Authentication Code)

HMAC은 해시 함수를 기반으로 메시지의 무결성과 인증을 보장하기 위한 방식이다.

입력값 : 메시지 + 비밀 키
결과값 : 서명(Signature)

HMAC(secret, message) : 메시지가 위조되지 않았는지, 인증된 키로 생성된 것인지 확인 가능하게 해주는 방법

SHA (Secure Hash Algorithm)

해시 함수로 주어진 데이터를 고정된 길이의 무작위 같은 값으로 바꾸는 함수다.
다양한 비트 수를 지원한다.
SHA-256 - 256비트, SHA-384-384비트, SHA-512-512비트

HMAC + SHA = HMAC-SHA
둘을 조합해서 만든 알고리즘

알고리즘	의미	특징
HS256	HMAC with SHA-256	가장 일반적으로 사용
HS384	HMAC with SHA-384	더 강한 보안
HS512	HMAC with SHA-512	매우 강한 보안, 키도 더 김

💚 JWT에서 쓰이는 법

JWT 3부분에서 Signature 부분에서 사용

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:
{
  "sub": "user123",
  "role": "USER"
}

// HMAC-SHA로 만든 서명. 이걸로 위조 여부 판단
Signature = HMAC_SHA256(secret, base64url(Header) + "." + base64url(Payload))

💙 SecretKeySpec

javax.crypto.spec.SecretKeySpec
바이트 배열로부터 대칭키 객체를 생성할 수 있게 해주는 클래스

SecretKey 인터페이스를 구현한 클래스로 암호회 알고리즘에 사용할 실제 키 객체를 생성하는 데 사용된다.
바이트 배열(byte[]) + 알고리즘 이름(String)을 넘겨주면, SecretKey 객체가 생성된다.

public class SecretKeySpec implements SecretKey

사용 목적

특정 알고리즘에 사용할 키를 직접 만들고 싶을 경우 사용한다.
예 : AES, HMAC 등에서 서명 또는 암호화에 사용할 키를 직접 설정해야 할 때

HMAC-SHA256용 키를 수동으로 생성 예시

import javax.crypto.spec.SecretKeySpec;
import javax.crypto.SecretKey;

String secret = "this-is-a-very-secret-key-32bytes!";
// 해당 키를 JJWT, Mac, Cipher 등에 전달
byte[] keyBytes = secret.getBytes();
// HmacSHA256는 사용할 알고리즘 이름
SecretKey key = new SecretKeySpec(keyBytes, "HmacSHA256");

💙 Keys.hmacShaKeyFor() vs SecretKeySpec

항목	SecretKeySpec	Keys.hmacShaKeyFor()
제공 위치	Java 기본 API	JJWT 라이브러리
용도	바이트 배열로 대칭키 만들기	JWT 서명을 위한 안전한 HMAC 키 생성
키 길이 검사	❌ (직접 검증해야 함)	✅ (256비트 이상 아니면 예외 발생)
편의성	낮음	높음
권장 여부	기본 알고리즘 사용 시 OK	JWT용 키 생성 시 더 권장됨

• SecretKeySpec은 로우레벨의 키 생성 도구
• hmacShaKeyFor()는 내부적으로 SecretKeySpec을 사용하지만, 자동으로 안정성과 길이 검사를 해주기 때문에 더 안전하고 편리하다.

💙 claim(String name, Object value)

JWT를 생성할 때 사용하는 메소드로, JWT의 payload 영역에 원하는 사용자 정의 데이터를 추가할 때 사용된다.

io.jsonwebtoken.JwtBuilder 인터페이스에 정의되어 있으며, Jwts.builder()를 통해 반환된 JwtBuilder 객체에서 사용

Jwts.builder()
    .subject(username)                // 표준 클레임: subject
    .claim("email", email)           // 커스텀 클레임: 이메일
    .claim("role", role)             // 커스텀 클레임: 역할
    .issuedAt(now)
    .expiration(expiryDate)
    .signWith(secretKey)
    .compact();
    

💚 Claim

JWT의 payload 영역은 여러 개의 클레임으로 구성되어있다. 클레임은 토큰에 담긴 정보 조각이다.

💚 Claims

Header . Payload . Signature

이 중 Payload 부분에 담긴 정보가 바로 Claims (예: 사용자 이름, 이메일, 권한(Role) 등)
key-value 데이터 집합이다.

public Claims extractClaims(String token) {
        return Jwts.parser()
                .verifyWith(secretKey) // 내부적으로 서명도 검증
                .build()
                .parseSignedClaims(token)
                .getPayload();
    }
    

내부적으로 처리되는 내용

1. JWT 파싱 및 서명 검증
   parseClaimsJws(token) 내부적으로 다음을 수행

• 토큰이 변조되지 않았는지 Signature를 통해 검증
• 서명키(secretKey)로 verifyWith(secretKey) 과정을 수행

2. 클레임 정보 추출
   서명 검증이 통과하면 .getBody() 를 통해 payload(클레임) 내용을 추출

Claim과 Claims

{
  "sub": "user1",
  "email": "user1@example.com",
  "role": "USER",
  "exp": 1722315123
}

항목	설명
전체	Claims 객체
"sub": "user1"	하나의 Claim
"email": "user1@example.com"	하나의 Claim
"role": "USER"	하나의 Claim

구분	설명
Claims	여러 개의 Claim을 담은 Map 형태 객체 (Map<String, Object>)
Claim	그 안에 들어있는 단일 정보 (예: username, role, exp 등)

💚 Claims에서 사용자 정보 추출

    public String getUsername(String token) {
        return extractClaims(token).getSubject();
    }

    // 이메일 추출
    public String getEmail(String token) {
        return extractClaims(token).get("email", String.class);
    }

    // 역할(role) 추출
    public String getRole(String token) {
        return extractClaims(token).get("role", String.class);
    }
    

💙 JwtUtil 전체적인 흐름

1. 로그인 성공 시 createToken() 호출하여 JWT 생성
2. 클라이언트는 이후 요청마다 JWT를 헤더에 담아 보냄
3. 필터에서 validateToken()을 통해 유효성 검사
4. 필요할 때 사용자 정보(username, email, role)는 추출 메소드로 꺼냄

🤍 회고

프로젝트에서 JwtUtil을 사용하는 과정에서 궁금했던 부분들과 개념을 정확히 이해하기 위해 관련 내용을 학습했다. 공부를 하다 보니 개념이 확장되어 SecretKeySpec까지 깊이 있게 살펴보게 되었다