📌 [JWT 인증 시스템 시리즈 - 3편] Signature 엔티티와 JWT 서명 키 자동 갱신 구조

📅 날짜

2025-05-20

---

📝 학습 내용

1️⃣ 왜 JWT 서명 키(Signature)를 DB에 저장해야 할까?

JWT는 서버가 토큰을 검증하기 위해 서명 키(Key)를 유지해야 한다.

하지만 서버를 재시작할 때마다 키가 새로 생성되면, 기존에 발급한 토큰은 모두 검증 실패하게 된다.

그래서 다음과 같은 구조로 설계했다:

• Signature 엔티티를 통해 키를 DB에 영속화
• 서버 시작 시 기존 키 불러오기, 없으면 새로 생성
• SignatureScheduling을 통해 주기적 키 갱신
• JwtTokenProvider.setKey()를 이용한 실시간 키 반영

---

2️⃣ Signature 엔티티

@Data
@AllArgsConstructor
@NoArgsConstructor
@Builder
@Entity
public class Signature {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY) // 기본 키는 Long 타입 사용
    private Long id;

    @Column(name = "keyBytes", nullable = false)
    private byte[] keyBytes;

    @Column(name = "createAt", nullable = false)
    private LocalDate createAt;
}

📌 보완점 반영:

• @Id로 byte[] 대신 Long 사용 → JPA 호환성 문제 해결
• keyBytes는 그대로 유지해 JWT 서명용 키로 사용 가능

---

3️⃣ SignatureRepository

@Repository
public interface SignatureRepository extends JpaRepository<Signature, Long> {
}

📌 이전 버전에서는 org.springframework.security.web.webauthn.api.Bytes를 ID로 사용해 오류 발생 가능

➡️ Long 기본 키 타입으로 교체하여 안정성 확보

---

4️⃣ SignatureScheduling – 키 자동 갱신 (매 시 정각)

@Component
@EnableScheduling
public class SignatureScheduling {

    @Autowired
    private SignatureRepository signatureRepository;

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    // 매 시 정각마다 실행
    @Scheduled(cron = "0 0 * * * *")
    public void signatureScheduled(){
        List<Signature> list = signatureRepository.findAll();

        // 기존 키 삭제
        if(!list.isEmpty()){
            signatureRepository.deleteAll();
        }

        // 새 키 생성 및 저장
        byte[] keyBytes = KeyGenerator.getKeygen();
        Signature newSignature = Signature.builder()
                .keyBytes(keyBytes)
                .createAt(LocalDate.now())
                .build();
        signatureRepository.save(newSignature);

        // JwtTokenProvider에 새 키 반영
        jwtTokenProvider.setKey(Keys.hmacShaKeyFor(keyBytes));
    }
}

---

5️⃣ JwtTokenProvider와 Signature 연동 구조

• 서버가 시작되면 @PostConstruct로 Signature 테이블에서 키를 로드
• Signature가 없으면 키를 새로 생성해 저장
• SignatureScheduling이 키를 새로 발급하면, setKey()로 실시간 반영

---

🔥 정리

구성요소	역할
Signature	JWT 서명 키를 DB에 저장
SignatureRepository	키 저장소 관리 (Long 기반 ID로 안정성 확보)
SignatureScheduling	1시간마다 키를 자동 갱신
JwtTokenProvider.setKey()	런타임 중 새 키로 JWT 기능 실시간 전환

---

🔗 참고 자료

• Spring Scheduled Task 공식 문서
• JWT 키 관리 Best Practice (OWASP)

---

🧠 느낀 점

• JWT 기반 시스템에서 키 관리는 단순 설정 이상의 보안 핵심 요소라는 걸 느꼈다.
• JPA에서 byte[]를 ID로 쓰는 것보다 Long을 쓰는 게 훨씬 안정적이고 호환성도 좋다.
• 키를 실시간으로 교체할 수 있다는 점은 운영 중 키 회전(Key Rotation) 전략까지 적용할 수 있다는 의미여서 확장성이 좋다.

---

✅ 요약

• JWT 서명 키를 Signature 엔티티에 저장해 서버 재시작 후에도 기존 토큰을 검증 가능하게 했다.
• SignatureScheduling을 통해 키를 주기적으로 갱신할 수 있도록 구현했고,
• 이를 통해 보안성과 유효성 관리를 모두 만족시키는 구조를 만들었다.

---