📌 [JWT 인증 시스템 시리즈 - 2편] JwtTokenProvider의 전체 흐름과 핵심 메서드 분석

📅 날짜

2025-05-20

---

📝 학습 내용

1️⃣ JwtTokenProvider 클래스의 책임

• JWT 발급 (AccessToken + RefreshToken)
• JWT 검증 (유효성, 권한 포함 여부)
• 인증 객체 생성 (UsernamePasswordAuthenticationToken)
• JWT 서명 키를 DB에서 불러와 유지
• SignatureScheduling과 연계하여 런타임 중 키 갱신(setKey) 가능

---

2️⃣ 전체 코드

@Slf4j
@Component
public class JwtTokenProvider {

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private SignatureRepository signatureRepository;

    // Key 저장 - JWT 서명에 사용
    private Key key;

    // SignatureScheduling에서 주입 시 사용됨
    public void setKey(Key key){
        this.key = key;
    }

    // 서버 시작 시 서명 키 초기화
    @PostConstruct
    public void init(){
        List<Signature> list = signatureRepository.findAll();
        if(list.isEmpty()){
            // 최초 실행: 새 키 생성 및 저장
            byte[] keyBytes = KeyGenerator.getKeygen();
            this.key = Keys.hmacShaKeyFor(keyBytes);

            Signature signature = Signature.builder()
                    .keyBytes(keyBytes)
                    .createAt(LocalDate.now())
                    .build();
            signatureRepository.save(signature);

            System.out.println("JwtTokenProvider init() 신규 Key 생성: " + key);
        } else {
            // 기존 서명 키 로드
            Signature signature = list.get(0);
            this.key = Keys.hmacShaKeyFor(signature.getKeyBytes());

            System.out.println("JwtTokenProvider init() 기존 Key 사용: " + key);
        }
    }

    // Access + Refresh Token 생성 메서드
    public TokenInfo generateToken(Authentication authentication) {
        String authorities = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.joining(","));

        long now = System.currentTimeMillis();

        // AccessToken 생성
        Date accessTokenExpiresIn = new Date(now + JwtProperties.ACCESS_TOKEN_EXPIRATION_TIME);
        String accessToken = Jwts.builder()
                .setSubject(authentication.getName())
                .claim("username", authentication.getName())
                .claim("auth", authorities)
                .setExpiration(accessTokenExpiresIn)
                .signWith(key, SignatureAlgorithm.HS256)
                .compact();

        // RefreshToken 생성
        String refreshToken = Jwts.builder()
                .setExpiration(new Date(now + JwtProperties.REFRESH_TOKEN_EXPIRATION_TIME))
                .signWith(key, SignatureAlgorithm.HS256)
                .compact();

        System.out.println("AccessToken: " + accessToken);
        System.out.println("RefreshToken: " + refreshToken);

        return TokenInfo.builder()
                .grantType("Bearer")
                .accessToken(accessToken)
                .refreshToken(refreshToken)
                .build();
    }

    // JWT로부터 인증 객체 생성
    public Authentication getAuthentication(String accessToken) {
        Claims claims = parseClaims(accessToken);
        if (claims.get("auth") == null) {
            throw new RuntimeException("권한 정보가 없는 토큰입니다.");
        }

        // 권한 정보 파싱
        Collection<? extends GrantedAuthority> authorities =
                Arrays.stream(claims.get("auth").toString().split(","))
                        .map(SimpleGrantedAuthority::new)
                        .collect(Collectors.toList());

        // 사용자 정보 로딩
        String username = claims.getSubject();
        Optional<User> userOptional = userRepository.findById(username);

        PrincipalDetails principalDetails = new PrincipalDetails();
        if(userOptional.isPresent()) {
            UserDto userDto = UserDto.toDto(userOptional.get());
            principalDetails.setUserDto(userDto);
        }

        return new UsernamePasswordAuthenticationToken(principalDetails, "", authorities);
    }

    // JWT의 Claims 파싱 (만료되어도 파싱 가능)
    private Claims parseClaims(String accessToken) {
        try {
            return Jwts.parserBuilder().setSigningKey(key).build()
                    .parseClaimsJws(accessToken).getBody();
        } catch (ExpiredJwtException e) {
            return e.getClaims(); // 만료됐더라도 내부 정보 추출
        }
    }

    // JWT 유효성 검증
    public boolean validateToken(String token) {
        try {
            Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
            return true;
        } catch (io.jsonwebtoken.security.SecurityException | MalformedJwtException e) {
            log.info("Invalid JWT Token", e);
        } catch (UnsupportedJwtException e) {
            log.info("Unsupported JWT Token", e);
        } catch (IllegalArgumentException e) {
            log.info("JWT claims string is empty.", e);
        }
        return false;
    }
}

---

🔥 정리

메서드	역할
generateToken()	인증 정보를 기반으로 JWT 생성 (AT/RT)
getAuthentication()	JWT로부터 사용자 정보와 권한을 복원
validateToken()	JWT 서명과 구조 유효성 확인
parseClaims()	만료 여부와 상관없이 Claim 파싱
@PostConstruct init()	서버 시작 시 키 불러오기 또는 생성
setKey()	SignatureScheduling에서 key 교체를 위한 setter

---

🔗 참고 자료

• JWT 공식 소개
• jjwt GitHub 문서
• Spring Security 공식 인증 문서

---

🧠 느낀 점

• JwtTokenProvider를 통해 JWT 발급부터 검증까지 전 흐름을 통제할 수 있다는 점에서 굉장히 강력하다고 느꼈다.
• @PostConstruct 초기화 로직과 SignatureScheduling의 조합으로, 서버 재시작 후에도 일관된 키 관리가 가능해졌다.
• 다음 단계로 Redis 연동이나 /refresh 엔드포인트 구현으로 확장해보면 좋을 것 같다.

---

✅ 요약

• JwtTokenProvider는 JWT 기반 인증 시스템의 핵심 컴포넌트다.
• 인증 정보를 기반으로 토큰을 생성하고, 서버 재시작 이후에도 검증이 가능하도록 키를 안정적으로 관리한다.
• 토큰 파싱, 유효성 검증, 인증 객체 복원까지 전체 책임을 가진다.

---

이제 이 내용을 벨로그에 바로 올릴 수 있어! 🚀

다음 편에서는 서명 키를 주기적으로 갱신하는 SignatureScheduling 구조를 다룰 예정이야.

썸네일도 필요하면 바로 만들어줄게 😊

---

썸네일 만들어줄까? 아니면 3편 바로 시작할까? 선택해줘!