🔥 TIL - Day 29

프로젝트가 거의 마무리되어 오늘은 혼자 간단한 프로젝트를 구상해보고 개인공부를 했다.

이번 프로젝트에서 인증 부분을 구현하며 고생도 했고 아직도 맘에 들지 않는 부분이 많아서 이후 Spring 으로 넘어가면 좀 더 잘 구현할 수 있도록 spring에서 jwt를 다루는 연습을 했다.

Java에서 JWT를 위해 제공되는 라이브러리는 크게 2개가 있다.

auth0에서 만든 Java JWT와 okta에서 만든 jjwt가 있다.

📌 Okta jjwt

okta의 jjwt부터 간단하게 알아보자.

[ Maven ]
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>

[ Gradle ]
implementation 'io.jsonwebtoken:jjwt-api:0.11.2'

Claim 생성방법

Strint jwtToken = Jwts.builder().addClaims()
    .Map.of(
        "exp", 
        "key1", "value1",
        "key2", "value2", ...
    )   
    .signWith(SignatureAlgorithm.HS256, "JWT_SECRET_KEY")
    .compact();

Payload 파싱방법 (토큰 디코딩)

Jws<Claims> jwt = Jwts.parser()
    .setSigningKey("JWT_SECRET_KEY")
    .parseClaimsJws(jwtToken);

📌 auth0 Java-JWT

다음으로 auth0의 Java JWT를 간단하게 알아보자.

[ Maven ]
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.2</version>
</dependency>

[ Gradle ]

implementation 'com.auth0:java-jwt:3.18.2'

Claim 생성방법

String jwtToken = JWT.create()
    .withSubject("subject"
    .withExpiresAt(new Date(System.currentTimeMillis() + ... )
    .withClaim("key2", "value2")
    .sign(Algorithm.HMAC256("JWT_SECRET_KEY"));

Payload 파싱방법 (토큰 디코딩)

DecodedJWT jwt = JWT.require(Algorithm.HMAC256("JWT_SECRET_KEY"))
    .build()
    .verify(jwtToken);

Java JWT는 jjwt와 다르게 key 없이 토큰을 디코딩할 수 있는 메서드를 제공한다.
즉 토큰 검증에 실패해도 Claim을 보고 필요하다면 알맞게 응답을 내려줄 수 있다는 것이다.

DecodedJWT token = JWT.decode(jwtToken)
token.getClaims()