소셜로그인

모든 웹 사이트에서 회원가입 과정을 거치는 것은 사용자에게 부담이 됩니다.
매번 번거로운 회원가입 과정을 수행해야 할 뿐 아니라, 웹 사이트마다 다른 아이디와 비밀번호를 기억해야 합니다.

또한 웹 사이트를 운영하는 측에서도 회원들의 개인정보를 지켜야하는 역할이 부담이 됩니다.

이런 문제를 해결하기 위해 OAuth 를 사용한 소셜 로그인이 등장합니다.

사용자(resource owner)들이 비밀번호를 제공하지 않고 신뢰할 수 있는 서비스(구글, 네이버 등)에 사용자 인증 절차를 위임하여 수행하고 권한은 서버(client)에게 주는 인가를 위한 기술입니다.

OAuth 인증 과정

Configure OAuth2 Login

@Configuration
@EnableWebSecurity
public class SecurityConfig {
	
    private final CustomOAuth2UserService customOAuth2UserService;
    private final CustomSuccessHandler customSuccessHandler;
    
	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.oauth2Login( oauth2 -> oauth2
                	.userInfoEndpoint(userInfo -> userInfo
                        .userService(customOAuth2UserService)))  
                    .successHandler(customSuccessHandler)          
             );
		return http.build();
	}

}

applicaiton.yml 설정

spring:
  security:
    oauth2:
      client:
        registration:
          my-oidc-client:
            client-id: my-client-id
            client-secret: my-client-secret
            authorization-grant-type: authorization_code
            scope: openid,profile

위 설정과 더해, application은 아래 두가지 endpoint를 지원합니다.
1. 로그인endpoint (/oauth2/authorization/{my-oidc-client})
소셜로그인을 하기 위한 페이지로 redirect
2. 리다이렉션endpoint (/login/oauth2/code/{my-oidc-client})
인가서버에 의해 client서버로 redirect되며 code파라미터를 포함합니다.

UserInfo Endpoint

OAuth 2.0 보호 리소스이며, 인증된 사용자의 클레임(Claims)을 반환합니다.
사용자의 정보를 얻기 위해 이 엔드포인트에 access토큰 사용

DefaultOAuth2UserService

DefaultOAuth2UserService는 표준 OAuth 2.0 제공자(OAuth 2.0 Provider)를 지원하는 OAuth2UserService의 기본 구현체입니다.

OAuth2UserService

OAuth2UserService는 OAuth2 인증 플로우에서 클라이언트가 부여받은 액세스 토큰(access token)을 사용하여 UserInfo 엔드포인트에서 리소스 소유자(사용자)의 속성을 조회합니다.

public class CustomOAuth2UserService extends DefaultOAuth2UserService {

    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
        //리소스 서버로 부터 받을 유저정보
        OAuth2User oAuth2User = super.loadUser(userRequest);
        log.info("oAuth2User: {}", oAuth2User);

        String registrationId = userRequest.getClientRegistration().getRegistrationId();
        log.info("registrationId: {}", registrationId);
}

successHandler

public class CustomSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
		// 로그인 완료 & JWT생성 등 로직 처리
    }
}

정리

Spring Security의 OAuth2 login 기능을 이용해서 인증서버에 (code)인가코드와 access token을 요청하는 로직을 직접 작성하지 않고 편리하게 사용할 수 있습니다.

https://docs.spring.io/spring-security/reference/servlet/oauth2/login/advanced.html