스프링 시큐리티는 보안 관련해서 인증, 권한, 인가 등 다양한 것들을 제공해줍니다.
보안 관련 로직을 직접 작성하거나 라이브러리를 추가하는 소요를 덜어주고,
스프링 시큐리티 프레임워크를 활용해 설정 관련 코드를 작성하면 됩니다.
이 외에도 세션 관리, 로깅, LDAP 등 다양한 것들을 지원 해준다고 합니다.
보안은 거의 모든 애플리케이션에서 필요한 부분입니다.
이런 공통적인 부분을 직접 커스터마이징 할 필요 없이,
제공해주는 스프링 시큐리티를 편하게 사용할 수 있습니다.
WebSecurityConfigurerAdapter
가 deprecated 되어 사용하지 않기를 권장하고 있습니다.
WebSecurityConfigurerAdapter
Seucurity Config을 구현할 때 꼭 extends를 해줘야 했던 부분입니다.
왜 Deprecated 되었는지는 공식 문서(링크)에도 아예 언급되어 있지 않았습니다.
그래서 이유를 한번 찾아봤습니다.
*Deprecated된 WebSecurityConfigurerAdapter
클래스
스프링 시큐리티 5.4 이전 버전에서 WebSecurityConfigurerAdapter
를 extends한 것이 문제가 되는 것이 거의 없었습니다.
스프링 시큐리티를 세팅 할 때 Override 해야 할 메소드를 알 수 있어서 오히려 편했었습니다.
그렇다면 왜 Deprecated된 걸까?
이유는 Webflux 모듈과의 호환성에 있었습니다.
변경 전
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults());
}
}
변경 후
@Configuration
public class SecurityConfiguration {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults());
return http.build();
}
}
@Bean
을 등록하고 클래스명을 정의할 수 있습니다.스프링 시큐리티는 인증, 인가에 대한 처리를 여러개의 필터를 연쇄적으로 실행하여 수행합니다.
*사진 출처 ⇒ 링크
각 필터에 대해 자세히 알고 싶으신 분은 아래 블로그의 링크를 참고하시기 바랍니다.
필터에 대해서는 위 블로그가 제일 잘 설명되어있고 포인트를 잘 전달해줍니다.
필터를 전부 다 이해하려고 것보다는 프로젝트에 필요한 필터만 이해를 해도 괜찮다고 생각합니다.
JWT(Json Web Token) 기반 인증을 구현한다고 할 때 토큰의 포맷이 각각 다른 경우가 많습니다.
그래서 이런 포맷에 맞게 필터를 커스터마이징 해줘야 합니다.
여기서 javax.servlet Filter
를 커스텀해서 사용 하는게 아니라,
OncePerRequestFilter
를 커스텀해서 사용합니다.
그 이유는 아래와 같습니다.
OncePerRequestFilter
가 모든 서블릿에 일관된 요청을 처리한다.위 내용관련 레퍼런스
- OncePerRequestFilter와 Filter의 차이 ⇒ 링크
- 스택오버플로우 - What is OncePerRequestFilter? ⇒ 링크
OncePerRequestFilter
를 extends 후 커스텀한 필터 예시
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
FilterChain filterChain) {
// .....
}
}
그렇다면 JWT란 무엇일까?
JSON Web Token(JWT)은 웹 표준(RFC 7519)으로서 두 개체에서 JSON 객체를 사용하여 가볍고 자가수용적인(self-contained) 방식으로 정보를 안정성 있게 전달해줍니다.
여기서 자가 수용적(self-contained) 방식은 토큰에 정보들을 포함해서 전달 하는 것을 말합니다.
포함하는 정보들을 암호화해서 전달이 가능합니다.
어떤 암호화를 사용 했는지도 토큰에 포함시킵니다.
*제가 작성한 글에는 Spring Security와 같이 사용해 회원 인증 관련 위주로 작성되어 있습니다.
JWT 관련해서 자세하게 정리되어 있는 링크
- [JWT] JSON Web Token 소개 및 구조 ⇒ 링크
기존 세션 방식에서는 서버에서 세션을 유지해야 하는 소요가 있었습니다.
이런 세션을 통해서 유저가 로그인되어 있는지 체크도 하고 신경 써야 하는 부분이 있었습니다.
JWT는 클라이언트가 request를 서버에 전달하면 토큰 검증만 하면 되기 때문에,
세션 관리 소요가 줄어들어 자원을 아낄 수 있습니다.
단점에 대해서 가장 많이 나오는 내용은 아래와 같습니다.
위와 같은 문제들이 가장 많이 본 단점들입니다.
Access Token의 탈취를 방지하기 위해 Refresh 토큰을 적용하는 경우가 많지만,
그 부분도 소요가 생기고 Access Token과 Refresh 토큰을 저장하는 소요가 발생합니다.
이런 부분에 대해서 정확하게 정립된 부분은 없지만 고민을 해서 구현해야 할 것 같습니다.
이번에는 위 내용을 바탕으로 제가 구현한 소스코드를 공유 할려고 합니다.
공유를 하면서 제가 의도했던 내용을 같이 아래에 작성해보겠습니다.
우선 코드를 바로 공유하기 전에 구현한 부분의 플로우를 시각적으로 파악하기 위해,
시퀀스 다이어그램을 그려봤습니다.
OncePerRequestFilter
를 extends한 JwtAuthenticationFilter
에서 토큰 검증을 진행한다.@Component
@RequiredArgsConstructor
public class JwtAuthenticationFilter extends OncePerRequestFilter {
private final JwtService jwtService;
private final CustomUserDetailsService userDetailsService;
private static final String CHARACTER_ENCODING = "UTF-8";
private static final String CONTENT_TYPE = "application/json";
private final Logger logger = LoggerFactory.getLogger(JwtAuthenticationFilter.class);
@Override
protected void doFilterInternal(
@NotNull HttpServletRequest request,
@NotNull HttpServletResponse response,
@NotNull FilterChain filterChain
) throws ServletException, IOException {
String servletPath = request.getServletPath();
if(servletPath.contains("/users/signup")) {
filterChain.doFilter(request, response);
return;
}
final String jwtToken;
final String username;
jwtToken = getJwtToken(request.getCookies());
if(servletPath.contains("/users/login")) {
if(jwtToken != null) {
exceptionResponse(response, JwtExceptionCode.ALREADY_HAD_TOKEN);
return;
}
filterChain.doFilter(request, response);
return;
}
if(Strings.isNullOrEmpty(jwtToken)) {
exceptionResponse(response, JwtExceptionCode.TOKEN_NULL_OR_EMPTY);
return;
}
username = jwtService.extractUsername(jwtToken);
if(username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
if(!jwtService.isTokenValid(jwtToken, userDetails)) {
exceptionResponse(response, JwtExceptionCode.INVALID_TOKEN);
return;
}
UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(
userDetails,
null,
userDetails.getAuthorities()
);
authToken.setDetails( new WebAuthenticationDetailsSource().buildDetails(request) );
SecurityContextHolder.getContext().setAuthentication(authToken);
}
filterChain.doFilter(request, response);
}
private String getJwtToken(Cookie[] cookies) {
if(cookies == null) return null;
String token = null;
for(Cookie cookie : cookies) {
if(cookie.getName().equals(JwtToken.TOKEN_NAME.getTokenName())) {
token = cookie.getValue();
}
}
return token;
}
private void exceptionResponse(HttpServletResponse response, JwtExceptionCode jwtExceptionCode) throws IOException {
logger.error("JWT Exception : {}", jwtExceptionCode.getMessage());
ObjectMapper mapper = new ObjectMapper();
response.setCharacterEncoding(CHARACTER_ENCODING);
response.setContentType(CONTENT_TYPE);
response.setStatus(jwtExceptionCode.getCode());
JavaTimeModule javaTimeModule=new JavaTimeModule();
javaTimeModule.addDeserializer(LocalDateTime.class, new LocalDateTimeDeserializer(DateTimeFormatter.ISO_DATE_TIME));
mapper.registerModule(javaTimeModule);
mapper.configure(SerializationFeature.WRITE_DATES_AS_TIMESTAMPS, false);
ExceptionResponseDto exceptionResponseDto = ExceptionResponseDto.builder()
.occurredTime(LocalDateTime.now())
.message(jwtExceptionCode.getMessage())
.code(jwtExceptionCode.getCode())
.build();
String result = mapper.writeValueAsString(exceptionResponseDto);
response.getWriter().write(result);
}
}
@RestController
@RequestMapping("/users")
@RequiredArgsConstructor
public class UsersController {
private final UsersService usersService;
// ...
@PostMapping("/login")
public ResponseEntity<String> userLogin(@Valid @RequestBody UserLoginRequestDto requestDto, HttpServletResponse response) {
String tokenValue = usersService.userLogin(requestDto);
Cookie cookie = new Cookie(JwtToken.TOKEN_NAME.getTokenName(), tokenValue);
cookie.setMaxAge(60 * 60 * 24);
cookie.setPath("/");
response.addCookie(cookie);
return ResponseEntity.ok()
.body(tokenValue);
}
}
@Service
@RequiredArgsConstructor
public class UsersService {
private final UsersRepository usersRepository;
private final JwtService jwtService;
private final AuthenticationManager authenticationManager;
// ....
public String userLogin(UserLoginRequestDto requestDto) {
String username = requestDto.getUsername();
authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(
username,
requestDto.getPassword()
)
);
Users user = findUserByUsernameIfExist(username);
CustomUserDetails userDetails = CustomUserDetails.builder()
.users(user)
.build();
String tokenValue = jwtService.generateToken(userDetails);
return tokenValue;
}
private Users findUserByUsernameIfExist(String username) {
return usersRepository.findByUsernameAndUserState(username, UserState.Enabled)
.orElseThrow(
() -> new RestApiException(ClientExceptionCode.CANT_FIND_USER)
);
}
}
@Service
public class JwtService {
@Value("${jwt.secret}")
private String secretKey;
public String extractUsername(String token) {
return extractClaim(token, Claims::getSubject);
}
public String generateToken(UserDetails userDetails) {
return generateToken(new HashMap<>(), userDetails);
}
public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
final Claims claims = extractAllClaims(token);
return claimsResolver.apply(claims);
}
public String generateToken(Map<String, Object> extraClaims, UserDetails userDetails) {
return Jwts.builder()
.setClaims(extraClaims)
.setSubject(userDetails.getUsername())
.setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 24))
.signWith(getSignInKey(), SignatureAlgorithm.HS256)
.compact();
}
public boolean isTokenValid(String token, UserDetails userDetails) {
final String username = extractUsername(token);
return (username.equals(userDetails.getUsername())) && !isTokenExpired(token);
}
private boolean isTokenExpired(String token) {
return extractExpiration(token).before(new Date());
}
private Date extractExpiration(String token) {
return extractClaim(token, Claims::getExpiration);
}
private Claims extractAllClaims(String token) {
return Jwts
.parserBuilder()
.setSigningKey(getSignInKey())
.build()
.parseClaimsJws(token)
.getBody();
}
private Key getSignInKey() {
byte[] keyByte = Decoders.BASE64.decode(secretKey);
return Keys.hmacShaKeyFor(keyByte);
}
}
예전에 부트캠프를 들었을 때도 Spring Security + JWT를 구현했었는데,
그때는 Filter의 개념과 왜 FilterChain이 있는지도 잘 모르는 상태였었습니다.
이번에는 OncePerRequestFilter
필터를 사용해서, JWT 구현을 군더더기 없이 구현해봤습니다.
구현하면서 배운 것들을 정리하면 아래와 같습니다.
스프링 시큐리티가 상당히 거대하고 어렵다고만 느껴졌는데,
이번에 구현을 해보면서 좀 더 이해하기 쉬워졌습니다.
당연히 아직 부족한게 많고 보완할 점이 상당히 많다고 느꼈습니다.
보완할 점에 대해서도 멘토님이 코드리뷰를 위와 같이 남겨 주셨었습니다.
Access Token이 만료되어 로그인 로직을 다시 탄다는건 유저 입장에서 상당히 불편한 요소입니다.
그렇다고 이런 문제를 해결하기 위해 토큰 Expire 시간을 일주일이나 한 달로 잡아버리면,
탈취 되었을 때 탈취한 유저가 악용할 수 있는 시간이 상당히 길어집니다.
이런 부분을 Expire 시간을 줄이고 refresh 토큰을 도입 하는 것도 고민해봤습니다.
이 부분도 한번 구현을 해보고 refresh 토큰의 단점도 보고 싶었는데 아직은 못했습니다.
그리고 중복 로그인 관련해서도 고려해보지 못한 점이 아쉬웠습니다.
이미 JWT 토큰을 쿠키에 저장되어 있는 클라이언트는 로그인을 못하도록 막아놨지만,
다른 브라우저로 로그인을 하거나 다른 기기로 접속하면 로그인이 가능하도록 되어있습니다.
여러 자료를 찾아보니 DB에 JWT 토큰을 저장해서 검증 하는 방식이나,
로그인 이력을 DB에 저장해서 확인하는 방식이 있었습니다.
하지만 이 방법도 결국 DB를 사용해야 하는 소요가 생깁니다.
JWT가 토큰을 DB에서 검증하지 않는 장점을 버려야 된다는게 아쉬운 해결책이라고 느꼈습니다.
중복 로그인 관련 참고한 자료