Spring Security는 보안/인증 등을 간편하게 구현하도록 도와주는 프레임워크입니다.
Spring Boot + JWT + Security 구성
1. gralde 추가
//security
implementation 'org.springframework.boot:spring-boot-starter-security'
//jwt
compileOnly group: 'io.jsonwebtoken', name: 'jjwt-api', version: '0.11.2'
runtimeOnly group: 'io.jsonwebtoken', name: 'jjwt-impl', version: '0.11.2'
runtimeOnly group: 'io.jsonwebtoken', name: 'jjwt-jackson', version: '0.11.2'2. jwt 구성
- TokenProvider 생성
- 토큰 생성및 검증
@Slf4j
@Component
public class TokenProvider {
public static final String AUTHORIZATION_HEADER = "Authorization";
public static final String AUTHORIZATION_KEY = "auth";
private static final String BEARER_PREFIX = "Bearer ";
private static final long TOKEN_TIME = 60 * 60 * 1000L;
private final Key key;
private final SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
//(jwt.secret.key) base64로 구성된 키값
public TokenProvider(@Value("${jwt.secret.key}") String secretKey) {
byte[] bytes = Base64.getDecoder().decode(secretKey);
key = Keys.hmacShaKeyFor(bytes);
}
// 토큰 생성
public String createToken(Authentication authentication) {
Date date = new Date();
//Authentication에서 role가져오기
String authorities = authentication.getAuthorities().stream()
.map(GrantedAuthority::getAuthority)
.collect(Collectors.joining(","));
// jwt생성
return BEARER_PREFIX +
Jwts.builder()
.setSubject(authentication.getName())
.claim(AUTHORIZATION_KEY, authorities)
.setExpiration(new Date(date.getTime() + TOKEN_TIME))
.setIssuedAt(date)
.signWith(key, signatureAlgorithm)
.compact();
}
// 토큰 검증
public boolean validateToken(String token) {
try {
Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
return true;
} catch (SecurityException | MalformedJwtException e) {
log.info("Invalid JWT signature, 유효하지 않는 JWT 서명 입니다.");
} catch (ExpiredJwtException e) {
log.info("Expired JWT token, 만료된 JWT token 입니다.");
} catch (UnsupportedJwtException e) {
log.info("Unsupported JWT token, 지원되지 않는 JWT 토큰 입니다.");
} catch (IllegalArgumentException e) {
log.info("JWT claims is empty, 잘못된 JWT 토큰 입니다.");
}
return false;
}
// 인증정보로
public Authentication getAuthentication(String token) {
Claims claims = this.parseClaims(token);
if (claims.get(AUTHORIZATION_KEY) == null) {
throw new RuntimeException("권한 정보가 없는 토큰입니다.");
}
Collection<? extends GrantedAuthority> authorities =
Arrays.stream(claims.get(AUTHORIZATION_KEY).toString().split(","))
.map(SimpleGrantedAuthority::new)
.collect(Collectors.toList());
UserDetails principal = new User(claims.getSubject(), "", authorities);
return new UsernamePasswordAuthenticationToken(principal, token, authorities);
}
// 토큰검증 및 data 반환
private Claims parseClaims(String accessToken) {
try {
return Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(accessToken).getBody();
} catch (ExpiredJwtException e) {
return e.getClaims();
}
}
// header 토큰을 가져오기
public String resolveToken(HttpServletRequest request) {
System.out.println(request);
String bearerToken = request.getHeader(AUTHORIZATION_HEADER);
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith(BEARER_PREFIX)) {
return bearerToken.substring(7);
}
return null;
}
}- JwtFilter 생성
- GenericFilterBean, OncePerRequestFilter
redirect를 몇번을 시키냐에 따라 여러번 인증처리 또는 불필요한 처리를 반복하게 된다. 이런 문제를 해결하기 위해 OncePerRequestFilter 라는 것이 나왔다. - Dofilter는 토큰의 인증정보를 SecurityContext 안에 저장하는 역할 수행
@Slf4j
public class JwtFilter extends OncePerRequestFilter {
public static final String AUTHORIZATION_HEADER = "Authorization";
private final TokenProvider tokenProvider;
public JwtFilter(TokenProvider tokenProvider) {
this.tokenProvider = tokenProvider;
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
String jwt = resolveToken(request);
String requestURI = request.getRequestURI();
// 유효성 검증
if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt)) {
// 토큰에서 유저네임, 권한을 뽑아 스프링 시큐리티 유저를 만들어 Authentication 반환
Authentication authentication = tokenProvider.getAuthentication(jwt);
// 해당 스프링 시큐리티 유저를 시큐리티 건텍스트에 저장, 즉 디비를 거치지 않음
SecurityContextHolder.getContext().setAuthentication(authentication);
log.info("Security Context에 '{}' 인증 정보를 저장했습니다, uri: {}", authentication.getName(), requestURI);
} else {
log.error("유효한 JWT 토큰이 없습니다, uri: {}", requestURI);
}
filterChain.doFilter(request, response);
}
// 헤더에서 토큰 정보를 꺼내온다.
private String resolveToken(HttpServletRequest request) {
String bearerToken = request.getHeader(AUTHORIZATION_HEADER);
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7);
}
return null;
}
}3. SecurityConfig
-
WebSecurityCustomizer
-
SecurityFilterChain
-
antMatchers, mvcMatchers 차이점
- 화이트 리스트
- 블랙 리스트
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@RequiredArgsConstructor
public class SecurityConfig {
private final TokenProvider tokenProvider;
private final JwtAthenticationEntryPoint jwtAtuthenticationEntryPoint;
private final JwtAccessDeniedHandler jwtAccessDeniedHandler;
@Bean
public WebSecurityCustomizer configure() {
return (web) -> web.ignoring().mvcMatchers(
"/api-docs/**",
"/swagger-ui/**",
"/login",
"/h2-console/**"
).antMatchers("/h2-console/**");
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.csrf().disable()
.cors().disable()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.exceptionHandling()
.authenticationEntryPoint(jwtAtuthenticationEntryPoint)
.accessDeniedHandler(jwtAccessDeniedHandler)
.and()
.authorizeRequests()
.antMatchers("/api/user/signup", "/api/user/login").permitAll()
.antMatchers("/api/**").hasRole("USER")
.and()
.addFilterBefore(new JwtFilter(tokenProvider), UsernamePasswordAuthenticationFilter.class);
return http.build();
}
@Bean
public PasswordEncoder getPasswordEncoder() {
return new BCryptPasswordEncoder();
}
}참고 자료
https://www.baeldung.com/spring-security-method-security
https://velog.io/@suhongkim98/Spring-Security-JWT로-인증-인가-구현하기
