[24.08.21] SpringMVC_Spring Security + JWT

01. Api Security

접근제한 무시 경로

02. JWT (Json Web Token)

1. Payload

2. Signature

• 비밀키는 서버만 알고 있어야한다. 노출되면 안됨

3. Spring Security + JWT

Authentication Manager 가 관리한다.

• redirect 안됨
• Json으로 응답 → 이게 우리가 해야할일
  • 성공시 JWT 발행
  • 짧게 줌, 몇시간 정도
• 토큰은 클라이언트가 관리
  

1) Access Token

• 비밀번호 같은거 절대 담으면 안된다.
• 유효기간 짧게 준다(몇시간정도)
• 노출되어 있음
• 서버가 너 토큰 만료되었어 refresh token 다시 발급해 → 그럼 access token 다시 발행

2) Refersh Token

• 만료되면 무조건 다시 로그인해야함
• 보안을 위해서
• 유효기간 일주일정도 길게줌

4. JWT 토큰 생성

• .compact하면 생성해줌
  

5. JWT 검증

• 유효시간 만기 예외발생하면 로그아웃 시킬거임

6. JWT 정보 추출 (파싱)

• 로그인 사용자가 추출됨
  

7. JwtProcessor

• 3가지 도와줄 헬퍼 클래스

• 테스트
  

8. API 로그인

• 인증결과 직접 json으로 내보내겠다.
• 성공했으면 send 하면 되고
  

• 실패했으면 senderror 내보내면 됨
• 에러메세지 우리가 내보내면됨

---

• 참고링크
  JWT.IO

9. 토큰

• Access Token 은 헤더에 담아서 준다

• 횡단이라 무조건 한번은 검사함