CustomOAuth2User 구현하기

프로젝트를 구현하면서 OAuth2를 사용하기로 결정한 후, 어떻게 인증을 구현할 것인지 고민했다.
우선 이 방식에서는 기존에 사용하던 UserDetails 구현체인 CustomUserDetails를 그대로 사용하는 것이 적절한지 고민이 되었다.

결론적으로,
OAuth2 로그인 과정에서는 UserDetails보다는 OAuth2User를 사용하는 것이 더 적절하다고 판단했다.

그 이유는 다음과 같다.

왜 UserDetails가 아니라 OAuth2User인가?

UserDetails는 username/password 기반의 인증을 전제로 설계된 인터페이스이다.
즉, 서버가 직접 사용자의 인증 정보를 검증하는 일반 로그인 방식에 적합하다.

반면 OAuth2 로그인은 다음과 같은 흐름을 가진다.

사용자 → Google 로그인 → Google이 인증 → 사용자 정보 반환

이 과정에서 서버는 인증을 직접 수행하지 않고,
외부 Provider(Google)로부터 사용자 정보를 전달받는다.

이때 전달되는 데이터는 다음과 같은 형태이다.

{
  "email": "...",
  "name": "...",
  "picture": "..."
}

=> 즉, 정형화된 필드가 아니라 Map 형태의 attributes 데이터

따라서 이러한 구조를 다루기 위해 Spring Security에서는 getAttributes()를 제공하는 OAuth2User 인터페이스를 사용한다.

CustomOAuth2User

이러한 이유로, 본 프로젝트에서는 OAuth2 로그인 시 전달받은 사용자 정보와 DB의 User 엔티티를 함께 다루기 위해 CustomOAuth2User를 구현하였다.

@Getter
public class CustomOAuth2User implements OAuth2User {

    private final User user;
    private final Map<String, Object> attributes;

    public CustomOAuth2User(User user, Map<String, Object> attributes) {
        this.user = user;
        this.attributes = attributes;
    }

    @Override
    public Map<String, Object> getAttributes() {
        return attributes;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return List.of(new SimpleGrantedAuthority("ROLE_" + user.getRole().name()));
    }

    @Override
    public String getName() {
        return String.valueOf(user.getId());
    }
}

• user -> 우리 서비스의 DB에 저장된 사용자 정보
• attributes -> OAuth2 Provider(Google)로부터 받은 원본 사용자 정보

=> 내부 사용자 정보 + 외부 인증 정보를 하나의 객체로 통합

JwtAuthenticationFilter에서의 처리

OAuth2 로그인이 완료된 이후에는 JWT 기반 인증을 사용하므로,
요청마다 JWT 토큰을 검증하고 사용자 정보를 복원해야 한다.

CustomOAuth2User oAuth2User = new CustomOAuth2User(user, Map.of());

여기서 attributes를 Map.of()로 비워두는 이유는 다음과 같다.

=> JWT 인증 과정에서는 이미 로그인 과정이 끝난 상태이기 때문에
=> 더 이상 OAuth2 Provider로부터 받은 원본 데이터는 필요하지 않기 때문이다.

즉,

• OAuth 로그인 시 → attributes 필요
• JWT 인증 시 → user 정보만 필요

이후 CustomOAuth2User를 principal로 갖는 Authentication 객체를 생성하여
SecurityContext에 저장한다.

Authentication authentication = new UsernamePasswordAuthenticationToken(
        oAuth2User, null, oAuth2User.getAuthorities()
);

이를 통해 Controller에서는 다음과 같이 사용자 정보를 사용할 수 있다.

@AuthenticationPrincipal CustomOAuth2User user

정리

• UserDetails는 서버가 직접 인증하는 일반 로그인 방식에 적합하다.
• OAuth2User는 외부 Provider로부터 전달받은 사용자 정보를 처리하기 위한 인터페이스이다.
• JWT 인증 단계에서는 두 인터페이스 중 어떤 것을 사용해도 무방하지만,
  본 프로젝트에서는 OAuth2 로그인과의 일관성을 유지하기 위해 OAuth2User를 사용하였다.
  한 줄 결론

=> OAuth2라서 OAuth2User를 써야 하는 것이 아니라, 외부 인증 데이터(attributes)를 다루고 구조 일관성을 유지하기 위해 선택했다.