📌 [JWT 인증 시스템 시리즈 - 1편] Spring Security 설정 + 로그인 성공 처리 흐름

My Pale Blue Dot·2025년 5월 20일

JWT Spring spring security

SPRING BOOT

목록 보기

36/40

📅 날짜

2025-05-20

📝 학습 내용

1️⃣ `SecurityConfig.java` – Spring Security 설정의 핵심

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private CustomSuccessHandler customSuccessHandler;
    @Autowired
    private CustomLogoutSuccessHandler customLogoutSuccessHandler;
    @Autowired
    private CustomLogoutHandler customLogoutHandler;
    @Autowired
    private UserRepository userRepository;
    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Bean
    protected SecurityFilterChain configure(HttpSecurity http) throws Exception {
        // ✅ CSRF 비활성화
        http.csrf((config) -> config.disable());

        // ✅ 인가 설정
        http.authorizeHttpRequests((auth) -> {
            auth.requestMatchers("/", "/join", "/login").permitAll();
            auth.requestMatchers("/user").hasRole("USER");
            auth.requestMatchers("/manager").hasRole("MANAGER");
            auth.requestMatchers("/admin").hasRole("ADMIN");
            auth.anyRequest().authenticated();
        });

        // ✅ 로그인 설정
        http.formLogin((login) -> {
            login.permitAll();
            login.loginPage("/login");
            login.successHandler(customSuccessHandler); // 로그인 성공 시 커스텀 핸들러 실행
            login.failureHandler(new CustomLoginFailureHandler());
        });

        // ✅ 로그아웃 설정
        http.logout((logout) -> {
            logout.permitAll();
            logout.addLogoutHandler(customLogoutHandler);
            logout.logoutSuccessHandler(customLogoutSuccessHandler);
        });

        // ✅ 예외처리 설정
        http.exceptionHandling((ex) -> {
            ex.authenticationEntryPoint(new CustomAuthenticationEntryPoint());
            ex.accessDeniedHandler(new CustomAccessDeniedHandler());
        });

        // ✅ OAuth2 로그인 설정 (기본 로그인 페이지 공유)
        http.oauth2Login((oauth2)-> oauth2.loginPage("/login"));

        // ✅ 세션 설정 (JWT 기반 → 무상태)
        http.sessionManagement((sessionManagerConfigure) ->
           sessionManagerConfigure.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        );

        // ✅ JWT 인증 필터 추가 (LogoutFilter 전에 실행되도록)
        http.addFilterBefore(new JwtAuthorizationFilter(userRepository, jwtTokenProvider), LogoutFilter.class);

        return http.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

2️⃣ `CustomSuccessHandler.java` – 로그인 성공 시 처리 흐름

@Slf4j
@Component
public class CustomSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Autowired
    private JwtTokenRepository jwtTokenRepository;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        log.info("CustomSuccessHandler's onAuthenticationSuccess invoke..." + authentication);

        // ✅ JWT 발급
        TokenInfo tokenInfo = jwtTokenProvider.generateToken(authentication);

        // ✅ AccessToken을 쿠키로 전달
        Cookie cookie = new Cookie(JwtProperties.ACCESS_TOKEN_COOKIE_NAME, tokenInfo.getAccessToken());
        cookie.setMaxAge(JwtProperties.REFRESH_TOKEN_EXPIRATION_TIME); // 쿠키 유지 시간 = RefreshToken 시간
        cookie.setPath("/");
        response.addCookie(cookie);

        // ✅ Access + Refresh Token DB 저장
        JwtToken jwtToken = JwtToken.builder()
                .accessToken(tokenInfo.getAccessToken())
                .refreshToken(tokenInfo.getRefreshToken())
                .username(authentication.getName())
                .createAt(LocalDateTime.now())
                .build();
        jwtTokenRepository.save(jwtToken);

        // ✅ 메인 페이지로 리다이렉트
        response.sendRedirect(request.getContextPath() + "/");
    }
}

🔥 정리

구성 요소	역할
`SecurityConfig`	전체 보안 설정 담당 (`HttpSecurity` 기반 FilterChain 구성)
`formLogin().successHandler()`	로그인 성공 시 `CustomSuccessHandler` 실행
`CustomSuccessHandler`	AccessToken 발급, 쿠키에 저장, DB 저장, 리다이렉트
`JwtTokenProvider`	실제 JWT 생성 책임
`JwtTokenRepository`	Access/RefreshToken 영속화 (DB 저장용)

🔗 참고 자료

Spring Security 공식 문서
JWT 공식 문서
너의 실제 실습 코드 기반

🧠 느낀 점

SecurityConfig의 흐름을 완전히 이해하고 나니, 인증 필터의 동작 순서가 명확해짐
단순 로그인 성공 처리가 아닌, JWT 발급 → 저장 → 전달 흐름을 커스텀 핸들러에서 완전히 통제하고 있다는 점이 인상 깊었음
이후 AccessToken 만료 대응, RefreshToken 활용 구조가 더 중요하게 작용할 것이라 느껴짐

✅ 요약

Spring Security의 필터 체인을 커스터마이징해 JWT 인증 시스템의 기반을 구축했다.
로그인 성공 후 AccessToken을 쿠키에 저장, RefreshToken은 함께 DB에 저장함으로써 이후 인증 흐름에 대비함.
이 구조는 이후 Redis 기반 RefreshToken 관리, 토큰 재발급 흐름 구현을 위한 초석이 된다.

My Pale Blue Dot

Here, My Pale Blue.🌏

이전 포스트

📌 Spring Security - JWT 기반 인증 구현

다음 포스트

📌 [JWT 인증 시스템 시리즈 - 1편] Spring Security 설정 + 로그인 성공 처리 흐름

SPRING BOOT

📅 날짜

📝 학습 내용

1️⃣ `SecurityConfig.java` – Spring Security 설정의 핵심

2️⃣ `CustomSuccessHandler.java` – 로그인 성공 시 처리 흐름

🔥 정리

🔗 참고 자료

🧠 느낀 점

✅ 요약

📌 Spring Security - JWT 기반 인증 구현

📌 [JWT 인증 시스템 시리즈 - 2편] JwtTokenProvider의 전체 흐름과 핵심 메서드 분석

0개의 댓글

📌 [JWT 인증 시스템 시리즈 - 1편] Spring Security 설정 + 로그인 성공 처리 흐름

SPRING BOOT

📅 날짜

📝 학습 내용

1️⃣ SecurityConfig.java – Spring Security 설정의 핵심

2️⃣ CustomSuccessHandler.java – 로그인 성공 시 처리 흐름

🔥 정리

🔗 참고 자료

🧠 느낀 점

✅ 요약

📌 Spring Security - JWT 기반 인증 구현

📌 [JWT 인증 시스템 시리즈 - 2편] JwtTokenProvider의 전체 흐름과 핵심 메서드 분석

0개의 댓글

1️⃣ `SecurityConfig.java` – Spring Security 설정의 핵심

2️⃣ `CustomSuccessHandler.java` – 로그인 성공 시 처리 흐름