🤔 JWT란?

(Json Web Token)

• 일반적으로 클라이언트와 서버 통신 시 권한 인가(Authorization)을 위해 사용하는 토큰이다.
• 클라이언트와 서버 간의 정보를 JSON 객체로 안전하게 전송하는 데 사용
• JWT는 서명된 토큰이다!

먼저 토큰에 대해서 알아보자!

Token이란?

이 입장권을 통해서 접근이 허용된 서버의 자원에 접근할 수 있는 것이다.

💡 access token : 로그인 접근 카드키
     refresh token : 카드키 재발급

1. Access Token

• 특정 자원(보호된 정보)에 접근할 때 사용한다.
• 실제로 권한을 얻는데 사용하는 토큰이다.
  • 토큰이 탈취된다면 위험.(만료기간을 짧게 지정, 일반적으로 몇분~몇시간)
• 클라이언트에서는 access token을 해석할 수 없어야하고, 서버에서 해석할 수 있어야한다. (탈취될 가능성이 있으므로)
• JWT형식 또는 UUID등등 원하는 형태로 발급할 수 있다.

예시: 로그인 -> Access token 발급 받음 -> Access token을 헤더에 추가한 후 서버에 api요청 -> 서버가 Access token을 validation -> validation에 통과했다면 요청에 맞게 응답

2. Refresh Token

• Access token은 만료 기간을 갖고 있기 때문에 만료 기간이 지나도 서버 자원에 접근하고 싶다면, Access token을 갱신해야한다. 이 때 사용하는 토큰이 Refresh token이다.
• 액세스 토큰의 만료 시간이 지나면 액세스 토큰을 다시 발급받기 위해 사용됩니다. 보안 상 액세스 토큰을 저장하거나 전송하는 대신에 사용
• 일반적으로 몇일~몇주

기본적으로 Access Token은 외부 유출 문제로 인해 유효기간을 짧게 설정하는데, 정상적인 클라이언트는 유효기간이 끝난 Access Token에 대해 Refresh Token을 사용하여 새로운 Access Token을 발급받을 수 있다.

만약 Refresh Token이 유출되어서 다른 사용자가 이를 통해 새로운 Access Token을 발급받았다면? Access Token의 충돌이 발생하기 때문에, 서버측에서는 두 토큰을 모두 폐기시켜야 한다.

3. Id Token

• 클라이언트 애플리케이션이 로그인한 사용자를 식별하는 데 사용
• 인증 받은 사용자의 정보를 포함
• 민감한 정보는 절대 Id 토큰에 포함시키면 안된다.
• 토큰을 발급받은 사용자측에서 사용하기 위한 토큰이다.

JWT의 장점

• 클라이언트와 서버간의 통신을 간단하고 안전하게 만들어준다.
• 정보를 토큰 자체에 저장하기 때문에 DB에 조회할 필요가 없다. (빠른 인증)
• 표준화 → 여러 플랫폼에 지원된다.

⚠️ 발급 후 수정이 불가능, 토큰을 안전하게 보관해야 하고, 필요한 정보만 포함해야한다!

---

🤖 작동 방식

1) 인증(Authentication)

👉🏻 로그인 : 사용자가 ID/PW를 통해 로그인을 시도

• 인증 처리 : 서버는 사용자의 정보를 확인, 유효할 경우 secret key를 통해 Access token을 발급한다.
• JWT 발급 : 사용자 정보와 함께 서명된 토큰이 생성(토큰을 클라이언트에 전달)

2) 인가(Authorization)

👉🏻 보호된 엔드포인트 : API 엔트포인트에 요청을 보낼 때, 클라이언트가 Authorization header(or 매개변수..)에 Access token을 담아서 보낸다.

• 토큰 검증 : 서버는 JWT의 서명(Signature)을 확인하고, 토큰이 유효한지 검증합니다.
• 인가 처리 : 토큰 유효 → 클라이언트에서 해당 작업을 수행할 권한이 있는지 확인 후, 작업 허용 and 거부

👩🏻‍🦰 이를 구현하기 위해, 🔗Spring Security와 JWT 라이브러리를 조합하여 구현해보자.

1. Spring Security를 사용 : 보호된 엔드포인트를 설정하고, 필터를 추가하여 JWT 검증을 수행
2. JWT 라이브러리 사용: JWT 라이브러리를 사용하여 토큰 생성, 검증, 파싱 등의 작업을 수행
3. 사용자 인증 및 토큰 발급: 로그인 시 사용자를 인증하고, 유효한 경우 JWT 토큰을 발급합니다.
4. 토큰 검증 및 권한 확인: 클라이언트가 보호된 엔드포인트에 요청할 때 토큰을 검증하고, 권한을 확인하여 요청을 처리하거나 거부합니다.

---

🖥️ 코드를 작성해보자.

1. build.gradle

다음 라이브러리를 추가한다.

dependencies {
  
    ...
    
    //security
	implementation 'org.springframework.boot:spring-boot-starter-security'
 
	// jwt
	implementation 'io.jsonwebtoken:jjwt-api'
	implementation 'io.jsonwebtoken:jjwt-impl'
	implementation 'io.jsonwebtoken:jjwt-jackson'
}

2. TokenInfo - jwt 생성을 위한 정보

클라이언트에 토큰 보내기위해 DTO 생성

@Builder
@Data
@AllArgsConstructor
@ConfigurationProperties("jwt")
public class TokenInfo {
 
//    private String grantType;
//    private String accessToken;
//    private String refreshToken;
    
    private String issuer; 
    private String secretKey;
}

grantType은 JWT 대한 인증 타입으로, 여기서는 Bearer를 사용한다. 이후 HTTP 헤더에 prefix로 붙여주는 타입이기도 하다.

@ConfigurationProperties

프로퍼티 파일이나 환경 변수와 같은 외부 설정 소스에서 값을 가져와 Java 객체에 매핑할 때 사용한다.

3. TokenProvider - 암호화, 복호화

JWT 토큰 생성, 토큰 복호화 및 정보 추출, 토큰 유효성 검증의 기능이 구현된 클래스이다.

먼저 applicatoin.yml에 다음 설정을 추가한다.

jwt:
  issuer: (발행인)
  secret_key: secretKey

토큰의 암호화 복호화를 위한 secret key로서 이후 HS256 알고리즘을 사용하기 위해, 256비트보다 커야한다.
알파벳은 한단어 당 8bit 이므로 32글자 이상이면 된다.

JWT 토큰 생성 메서드

@Service
@RequiredArgsConstructor
@Slf4j
public class TokenProvider {
  private final TokenInfo tokenInfo;
    
  /**
   * JWT 토큰 생성 메서드
   * @param user - 토큰의 클레임(내용)에 포함될 로그인 유저 정보
   * @return - 생성된 JSON 을 암호화한 토큰 값
   */
  public String createToken(User user) {

    log.info("CREATING TOKEN...");

	// 토큰 만료 시간 : 24H
    Date expiryDate = Date.from(    // `Instant`를 `Date` 로 변환
        Instant.now()   // 현재 시간 정보를 `Instant`로 가져온다
            .plus(1, ChronoUnit.DAYS) // 현재 시각 + 1일
    );
    System.out.println("expiryDate = " + expiryDate);

    // 추가 클레임 정의
    Map<String, Object> claims = new HashMap<>();
    claims.put("email", user.getEmail());

    return Jwts.builder()
        // token header에 들어갈 서명 : 비밀값과 함께 해시값을 HS256 방식으로 암호화
        .signWith(
            tokenInfo.getSecretKey()
            , SignatureAlgorithm.HS256
        )
        .setHeaderParam(Header.TYPE, Header.JWT_TYPE) // 헤더 type : JWT
        .setClaims(claims) // 추가클레임은 먼저 설정해야 함
        // 추가하는 클레임이 이미 토큰에 포함된 다른 정보들과 충돌하지 않도록 해야하기 때문
        .setIssuer(tokenInfo.getIssuer()) // 내용 iss
        .setIssuedAt(new Date()) // 내용 iat : 토큰 발급 시간
        .setExpiration(expiryDate) // 내용 exp : 유효 시간
        .setSubject(user.getId()) // sub: 토큰을 식별할 수 있는 주요데이터
        .compact();
    }

🧐 JWT의 구조

🔗(Header + Payload + Signature)

토큰 유효성 검사

  /**
   * 클라이언트가 전송한 토큰을 디코딩하여 토큰의 위조여부를 확인
   * 토큰을 json으로 파싱해서 클레임(토큰정보)를 리턴
   * @param token
   * @return - 토큰 안에있는 인증된 유저정보를 반환
   */
  public TokenUserInfo validateAndGetTokenUserInfo(String token) {

    Claims claims = Jwts.parserBuilder()
        // 토큰 발급자의 발급 당시의 서명을 넣어줌
        .setSigningKey(tokenInfo.getSecretKey())
        // 서명 위조 검사: 위조된경우 예외가 발생합니다.
        // 위조가 되지 않은 경우 페이로드를 리턴
        .build()
        .parseClaimsJws(token)
        .getBody();

    log.info("claims: {}", claims);

    return TokenUserInfo.builder()
        .userId(claims.getSubject())
        .email(claims.get("email", String.class))
        .build();
  }