🔥 TIL - Day 50

📌 지금까지의 타임어택 테스트 Flask에서 Spring으로 옮기기

오늘 집중해서 하면 마무리 할 줄 알았는데 인증 부분에서 너무 오랜 시간이 걸렸다.
프론트 코드와 API 스펙을 Flask와 거의 동일하게 하려다 보니 세삼 Spring이 불편하게 느껴졌다..

일단 인증부분.
원래 했던 대로 JWT 토큰을 발급하고 클라이언트의 localStorage에 저장하고 매 ajax 요청마다 토큰을 들고오도록 구현했다.

우선 JWT 토큰을 생성하고 검증하는 기능을 수행하는 클래스를 정의한다.
이 부분을 완전히 라이브러리로 제공해주지 않는 것이 슬프다..ㅠ

@Slf4j
@Component
public class JwtUtils {

    private final String SECRET = "secret";
    private final SignatureAlgorithm SIGNATURE = SignatureAlgorithm.HS256;
    
    // 토큰 생성
    // Claim은 subject 역할의 username과 만료시간 두가지를 설정
    public String createToken(String subject) {
        Claims claims = Jwts.claims();
        claims.put("username", subject);

        return Jwts.builder()
                .claim("username", subject)
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60))
                .signWith(SIGNATURE, SECRET)
                .compact();
    }
    
    // 토큰의 Claim에서 username을 가져온다.
    public String getUsernameFromToken(String token) {
        Claims claims = getAllClaims(token);

        return String.valueOf(claims.get("username"));
    }
    
    // 토큰 유효여부 확인
    // 현재는 토큰의 만료시간만을 검증
    public Boolean isValidToken(String token) {
        Date expiration = getAllClaims(token).getExpiration();
        return expiration.after(new Date());
    }

    private Claims getAllClaims(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET)
                .parseClaimsJws(token)
                .getBody();
    }
}

Spring Security의 필터체인에 JWT방식의 인증이 가능하도록 필터를 정의하여 추가해줘야 한다.
아직 많이 개선이 필요한 부분이다.
최대한 래퍼런스 없이 코드를 구현을 완료했는데 다 하고 여러 여러 코드를 찾아보니 지금의 필터는 조금 부족한 것 같다. 아무튼!

간단하게 절차를 정리해보자.

• 클라이언트의 요청에 Authorization 헤더가 포함되었는가?
• 포함됐다면?
  • 토큰 유효여부 검증
  • 토큰의 subject 파싱 (username)
  • username으로 UserDetails를 가져온다.
  • UserDetails로 토큰(통행증) 을 생성한다. (UsernamePasswordAuthenticationToken)
  • 토큰에 임의으로 인증체크를 한다. (이 부분 잘 모르겠다.)
  • 인증된 토큰을 SecurityContextHolder에 저장한다.
• 포함되지 않았다면?
  • 그냥 인증이 되지 않은 상태로 다음 필터로 넘어가도록 doFilter 처리

@Component
@Slf4j
@RequiredArgsConstructor
public class JwtAuthenticateFilter extends OncePerRequestFilter {

    private final UserDetailsServiceImpl userDetailsService;
    private final JwtUtils jwtUtils;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authorization = request.getHeader("Authorization");

        if (authorization != null && authorization.startsWith("Bearer ")) {

            String token = authorization.substring(7);
            if (jwtUtils.isValidToken(token)) {
                log.info("JWT 필터 = {}", token);
                String username = jwtUtils.getUsernameFromToken(token);
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);

                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken
                        = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        filterChain.doFilter(request, response);
    }
}

마지막으로 Controller에서의 처리이다.
이 엔트포인트에 왔다는 것은 현재 JWT 토큰이 없는 상태에서 로그인을 한다는 것이다.
전달받은 아이디, 패스워드를 검증해보고 이상없다면 전달받은 로그인 정보로 UserDetails 객체를 만들고 이를 이용해서 JWT 토큰을 생성하고 클라이언트에게 전달한다.

클라이언트는 받아서 잘 저장하고 잘 보내주면 된다.

    @PostMapping("/signin")
    public TokenResponseDto signin(@RequestBody SignupRequestDto requestDto) {
        log.info("로그인 요청 = {}", requestDto.getUsername());
        try {
            authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(requestDto.getUsername(), requestDto.getPassword())
            );
        } catch (BadCredentialsException e) {
            throw new BadCredentialsException("로그인에 실패했습니다.");
        }

        UserDetails userDetails = userDetailsService.loadUserByUsername(requestDto.getUsername());
        String token = jwtUtils.createToken(userDetails.getUsername());
        log.info("로그인 후 토큰 = {}", token);
        return new TokenResponseDto(token, "로그인에 성공했습니다.");
    }

이 방대한 프레임워크의 룰을 따라야 하는 것이 개발을 힘들게 하지만 다 이유가 있지 않을까 싶다..ㅎ 꼭 이유가 있어야 한다 ..