📌 Spring Security - JWT 기반 인증 구현

My Pale Blue Dot·2025년 5월 19일

JWT Spring Springboot spring security

SPRING BOOT

목록 보기

35/40

📅 날짜

2025-05-19

📝 학습 내용

✅ 기존 방식 vs JWT 방식

구분	세션 방식	JWT 방식
상태 저장	서버 세션 (Stateful)	무상태 (Stateless)
인증 유지	세션 ID	Access Token
저장 위치	서버 (메모리, DB)	클라이언트 (쿠키, 헤더 등)
확장성	낮음 (서버 부하↑)	높음 (마이크로서비스 적합)

✅ 우리는 JWT 기반 인증 방식을 선택하고, Access Token을 쿠키에 저장하여 인증 흐름을 구현

1️⃣ JWT란?

JSON Web Token: 사용자 정보를 JSON으로 인코딩한 후 서명하여 생성하는 토큰
세 부분으로 구성됨: Header.Payload.Signature
주로 인증 정보(사용자명, 권한 등)를 담아 전송

2️⃣ 의존성 추가 (build.gradle)

implementation 'io.jsonwebtoken:jjwt-api:0.11.5'
runtimeOnly 'io.jsonwebtoken:jjwt-impl:0.11.5'
runtimeOnly 'io.jsonwebtoken:jjwt-jackson:0.11.5'

3️⃣ 주요 클래스별 설명 및 코드

🔹 KeyGenerator.java

[비밀키 생성 유틸 클래스]

JWT 서명을 위한 HMAC SHA-256 키를 무작위로 생성

public class KeyGenerator {
    public static byte[] getKeygen() {
        SecureRandom secureRandom = new SecureRandom();
        byte[] keyBytes = new byte[256 / 8]; // 32byte = 256bit
        secureRandom.nextBytes(keyBytes);
        return keyBytes;
    }
}

🔹 JwtProperties.java

[JWT 설정값 상수 정의 클래스]

public class JwtProperties {
    public static final int ACCESS_TOKEN_EXPIRATION_TIME = 1000 * 60; // 1분
    public static final int REFRESH_TOKEN_EXPIRATION_TIME = 1000 * 60 * 5; // 5분
    public static final String ACCESS_TOKEN_COOKIE_NAME = "access-token";
    public static final String REFRESH_TOKEN_COOKIE_NAME = "refresh-token";
}

주로 토큰 유효 시간과 쿠키 이름 등 공통 설정값을 상수로 정의

🔹 TokenInfo.java

[토큰 반환용 DTO]

@Builder
@Data
@AllArgsConstructor
public class TokenInfo {
    private String grantType;     // 일반적으로 "Bearer"
    private String accessToken;   // JWT 액세스 토큰
    private String refreshToken;  // JWT 리프레시 토큰
}

로그인 성공 시 클라이언트에 반환할 Access/Refresh 토큰을 담는 DTO

🔹 JwtTokenProvider.java

[핵심 유틸 클래스] – 토큰 생성, 검증, 인증 객체 변환

@Slf4j
@Component
public class JwtTokenProvider {
    private final Key key;

    public JwtTokenProvider() {
        byte[] keyBytes = KeyGenerator.getKeygen();
        this.key = Keys.hmacShaKeyFor(keyBytes); // HMAC-SHA256용 키
    }

    // ✅ 토큰 생성
    public TokenInfo generateToken(Authentication authentication) {
        ...
    }

    // ✅ 토큰 복호화 → Authentication 반환
    public Authentication getAuthentication(String token) {
        ...
    }

    // ✅ 토큰 유효성 검증
    public boolean validateToken(String token) {
        ...
    }
}

인증 객체로부터 JWT 생성하고,

JWT에서 사용자 정보를 추출해 Spring Security의 Authentication 객체로 변환하는 핵심 클래스

🔹 JwtAuthorizationFilter.java

[요청 필터] – 요청마다 쿠키에서 JWT 꺼내 인증 처리

public class JwtAuthorizationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        String token = ... // 쿠키에서 access-token 추출

        if (token != null && jwtTokenProvider.validateToken(token)) {
            Authentication authentication = jwtTokenProvider.getAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        chain.doFilter(request, response);
    }
}

클라이언트 요청마다 토큰을 읽고, 인증 정보를 SecurityContext에 저장

유저가 로그인된 상태임을 Spring Security에게 알림

🔹 CustomSuccessHandler.java

[로그인 성공 시 처리] – Access Token 생성 + 쿠키 저장

@Component
public class CustomSuccessHandler implements AuthenticationSuccessHandler {
    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException {
        TokenInfo tokenInfo = jwtTokenProvider.generateToken(authentication);

        Cookie cookie = new Cookie(JwtProperties.ACCESS_TOKEN_COOKIE_NAME, tokenInfo.getAccessToken());
        cookie.setHttpOnly(true);
        cookie.setSecure(true);
        cookie.setPath("/");
        cookie.setMaxAge(JwtProperties.ACCESS_TOKEN_EXPIRATION_TIME / 1000); // 초 단위
        response.addCookie(cookie);

        response.sendRedirect(request.getContextPath() + "/");
    }
}

로그인에 성공하면 JWT 토큰을 발급 → 쿠키에 저장 → 메인 페이지로 이동

🔒 로그아웃 처리 (보완 사항)

@Component
public class CustomLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
                                Authentication authentication) {
        Cookie cookie = new Cookie(JwtProperties.ACCESS_TOKEN_COOKIE_NAME, null);
        cookie.setMaxAge(0); // 쿠키 즉시 만료
        cookie.setPath("/");
        response.addCookie(cookie);
        response.setStatus(HttpServletResponse.SC_OK);
    }
}

🔧 SecurityConfig 등록 예시

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired private CustomSuccessHandler customSuccessHandler;
    @Autowired private JwtTokenProvider jwtTokenProvider;
    @Autowired private UserRepository userRepository;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable())
            .formLogin(form -> form
                .loginPage("/login")
                .successHandler(customSuccessHandler)
            )
            .logout(logout -> logout
                .logoutSuccessHandler(new CustomLogoutSuccessHandler())
            )
            .addFilterBefore(
                new JwtAuthorizationFilter(userRepository, jwtTokenProvider),
                UsernamePasswordAuthenticationFilter.class
            );
        return http.build();
    }
}

🔥 정리 요약

✅ JWT를 이용해 서버는 상태를 저장하지 않고 인증 처리
✅ Access Token은 쿠키에 저장하여 자동 전송되도록 설정
✅ 매 요청마다 JwtAuthorizationFilter가 토큰을 확인하여 인증 처리
✅ Refresh Token을 활용한 재발급은 별도 구현 가능

🔗 참고 자료

✨ 느낀 점

JWT를 처음 접했을 때는 개념이 어려웠지만,

직접 구현하면서 인증 흐름, 필터 처리, 쿠키 설정, 보안 고려사항까지 이해하게 됐다.

추후에 Refresh Token 재발급, 사용자별 권한 구분까지 확장해볼 계획이다.

📚 요약

JWT = 클라이언트가 인증 상태를 유지하는 방식
AccessToken은 쿠키, 사용자 인증은 SecurityContext에 설정
로그아웃/만료 시 쿠키 삭제로 인증 상태 제거
SecurityConfig에 모든 요소를 잘 연결해야 정상 작동

My Pale Blue Dot

Here, My Pale Blue.🌏

다음 포스트