스프링 숙련 : Project MySelectShop (2)

출처 : 내일배움캠프

 

목표

인증/인가에 대해 이해

회원가입/로그인/로그아웃을 구현하고 흐름을 이해

현 프로젝트를 통해 구현한 인증/인가 기능의 한계를 이해

 

1. 인증/ 인가

스프링에서 인증/인가를 관리하는 라이브러리 : 스프링 시큐리티

인증이란? 해당 유저가 실제 유저인지 인증하는 것

인가란? 해당 유저가 특정 리소스에 접근이 가능한지 허가를 확인하는 것

 

1) 인증의 방식 : 웹 애플리케이션의 인증

-> 일반적으로 서버 - 클라이언트 구조, 필요한 경우에만 연결된다

-> Http 프로토콜 : 비연결성 무상태로 통신

비연결성 : 서버와 클라이언트가 연결되어 있지 않음 ~ 리소스 절약목적

무상태 : 서버가 클라이언트의 상태를 저장하지 않음 ~ 요청에만 응답, 그 서사는 알지 못한다.

 

~ 쿠키 - 세션 방식 : 서버가 특정 유저가 로그인되었다는 상태를 저장하는 방식

~ JWT 기반 인증

JWT : 인증에 필요한 정보를 암호화시킨 토큰

 

*User API 설계

기능	메서드	URL	요청	응답
회원가입 페이지	GET	/api/user/signup		signup.html
회원가입	POST	/api/user/signup	POST Form 태그 { "username" : String, ”password” : String, ”email : String, ”admin” : boolean, ”adminToken" : String }	redirect:/api/user/login
로그인 페이지	GET	/api/user/login		login.html
로그인	POST	/api/user/login	POST Form 태그 { "username" : String, ”password” : String }	redirect:/api/shop

User 엔티티

UserRoleEnum : 역할별 권한 설정

UserRepository ~JPARepository 상속

SignupRequestDto : 회원가입시 입력하는 정보를 받는 Dto

LoginRequestDto : 로그인 시 입력하는 정보를 받는 Dto

 

회원가입 기능

UserController : 로그인/ 회원가입기능 추가 -> 관리자 토큰 선언 -> 회원가입 메서드 작성 ~ 작성완료 시 로그인 페이지 반환

UserService : 회원 중복확인 및 사용자 역할 확인하는 signup 메서드 작성 ~ signupRequestDto에서 받은 user 정보를 UserRepository에 저장

UserRepository : 이름으로 중복회원을 확인하기 위한 Optional 타입 findByName(String username) 메서드

 

로그인 기능

UserController : UserRequestDto에서 정보를 받아 UserService login 메서드로 연결하는 컨트롤러. 로그인 시 메인페이지 반환하는 메서드 작성

Service : username 및 password를 통해 사용자 확인하는 메서드

 

2. JWT를 이용한 인증/인가

로그인 성공 시 토큰 발급

로그아웃

로그인 한 유저만 관심상품 등록, 조회, 최저가 등록 가능

ADMIN 계정은 모든 상품 조회 가능

 

~ 로그인한 유저가 등록한 관심상품만 보여야하는데 등록한 모든 관심상품이 보이는 문제 : 관심상품을 가져올 때마다 사용자 확인을 한다면 보안위험 노출

 

Http 프로토콜은 상태를 저장하지 않는다. 쿠키와 세션은 이런 상태가 저장된 상태로 있을 수 있도록 유지시키는 방법

쿠키 : 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일

 

세션 : 서버에서 일정시간동안 클라이언트 상태를 유지하기 위해 사용

서버에서 클라이언트 별로 유일무이한 '세션ID'를 부여한 후 클라이언트 별 필요한 정보를 서버에 저장

서버에서 생성한 '세션ID'는 클라이언트의 쿠키값('세션 쿠키')으로 저장되어 클라이언트 식별에 사용된다

1. 클라이언트가 서버에 1번 요청
2. 서버가 세션ID 를 생성하고, 응답 헤더에 전달
   1. 세션 ID 형태: "SESSIONID = 12A345"
3. 클라이언트가 쿠키를 저장 ('세션쿠키')
4. 클라이언트가 서버에 2번 요청
   • 쿠키값 (세션 ID) 포함하여 요청
5. 서버가 세션ID 를 확인하고, 1번 요청과 같은 클라이언트임을 인지

	쿠키	세션
설명	클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일	서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용
저장 위치	클라이언트(웹 브라우저)	웹 서버
사용 예	사이트 팝업의 '오늘 다시보지 않기' 정보 저장	로그인 정보 저장
만료 시점	쿠키를 저장할 때 만료 시점 설정 가능 (브라우저 종료 후에도 유지 가능)	조건 중 하나를 만족할 경우 만료 1. 브라우저 종료 2. 클라이언트 로그아웃 3. 서버가 설정한 유지기간까지 해당 클라이언트의 재요청이 없는 경우
용량 제한	브라우저 별로 상이 (크롬) 도메인 당 180개 (크롬) 쿠키 하나당 4kb	개수 제한 없음 (웹 서버의 세션 저장소 크기까지 저장)
보안	취약 : 클라이언트 쪽에서 쿠키 정보를 쉽게 변경, 삭제 및 가로채기 가능	비교적 안전 : 서버에 저장되기 때문에 상대적으로 안전

 

JWT : Json 포맷을 사용해 사용자의 속성을 저장하는 웹 토큰 ~ 저장된 쿠키

JWT가 필요한 이유!

서버가 2대 이상인 경우 로드밸런서를 통해 접속이 이루어지는데, 쿠키를 통합 관리하지 않으면 혼선이 생김

 

해결방법

세션을 한 곳에서 관리하는 저장소 생성

로그인 정보를 클라이언트가 JWT로 저장하여 갖고 있다가 JWT를 통해 인증/인가

회원 정보를 시크릿 키로 암호화 한 후 JWT 위조검증을 통해 사용자 인증

• JWT 장/단점

장점

= 동시 접속자가 많을 때 서버 측 부하 낮춤

= Client, Sever 가 다른 도메인을 사용할 때 사용하기 쉽다

예) 카카오 OAuth2 로그인 시 JWT Token 사용

단점

구현의 복잡도 증가

=J WT 에 담는 내용이 커질 수록 네트워크 비용 증가 (클라이언트 → 서버)

= 기 생성된 JWT 를 일부만 만료시킬 방법이 없음

~ 브라우저에서 삭제하거나 설정된 기한에 만료되는 등이 아니면 계속 유지됨

= Secret key 유출 시 JWT 조작 가능

 

JWT 흐름

1. 로그인 성공 ->

로그인 정보를 Secret Key 통해 JWT로 암호화 -> JWT를 클라이언트로 전달

**Authorization: BEARER** <JWT> <!-- 응답 Header에 아래 형태로 JWT 전달 -->

ex)
**Authorization: BEARER** eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJzcGFydGEiLCJVU0VSTkFNRSI6IuultO2DhOydtCIsIlVTRVJfUk9MRSI6IlJPTEVfVVNFUiIsIkVYUCI6MTYxODU1Mzg5OH0.9WTrWxCWx3YvaKZG14khp21fjkU1VjZV4e9VEf05Hok

-> 클라이언트에서 JWT 저장(쿠키, 로컬 저장소 등)

 

2. 클라이언트의 JWT 인증 ->

JWT를 API 요청 시마다 Header에 포함 ->

서버 : 클라이언트가 전달한 JWT를 Secret Key를 사용해 위조검증 + 유효기간 검사 ->

검증 성공시 : JWT에서 사용자 정보를 가져와 확인

 

JWT 구조

쉽게 평문으로 복호화 가능, Secret Key가 있어야만 수정이 가능 ~ JWT는 ReadOnly 데이터

 

JWT 구현 실습

dependencies에 JWT depedency 추가

application.properties에 JWT 시크릿 키 추가 ~ Base64로 인코딩한 값

 

토큰 생성에 필요한 값

		// Header KEY 값
		public static final String AUTHORIZATION_HEADER = "Authorization";
		// 사용자 권한 값의 KEY
    public static final String AUTHORIZATION_KEY = "auth";
		// Token 식별자 ~ 토큰 앞에 붙인다
    private static final String BEARER_PREFIX = "Bearer ";
		// 토큰 만료시간
    private static final long TOKEN_TIME = 60 * 60 * 1000L;

		@Value("${jwt.secret.key}")
    private String secretKey; // appelication.properties의 값을 가져온다
    private Key key; // token을 만들 때 넣어줄 키 값
    private final SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    @PostConstruct // 구글링 해보기
    public void init() { // 객체 생성시 초기화 함수
        byte[] bytes = Base64.getDecoder().decode(secretKey); // 디코딩한 바이트를 넣는 방법도 있다.
        key = Keys.hmacShaKeyFor(bytes);
    }

		// header 토큰을 가져오기
    public String resolveToken(HttpServletRequest request) {
        String bearerToken = request.getHeader(AUTHORIZATION_HEADER);
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith(BEARER_PREFIX)) {
            return bearerToken.substring(7); 
            // AUTHORIZATION.header를 가져온 뒤 토큰과 관련없는 앞 7자리 글자를 빼고 반환
        }
        return null;
    }

		// 토큰 생성
    public String createToken(String username, UserRoleEnum role) {
        Date date = new Date();

        return BEARER_PREFIX +
                Jwts.builder()
                .setSubject(username) // 공간, 공간 부분에 이름을 넣는다
                .claim(AUTHORIZATION_KEY, role) 
                // 사용자 권한, 권한을 가져올 때는 Auth 키를 사용해야한다.
                .setExpiration(new Date(date.getTime() + TOKEN_TIME))
                // 유효기간 설정, 지금으로부터 언제까지
                .setIssuedAt(date)
                // 언제 발급했는지
                .signWith(key, signatureAlgorithm)
                // Key 객체와 어떤 알고리즘으로 암호화할지 결정하는 것 ~ 실습 : HS256
                .compact();
                // String 타입의 JWT 토큰으로 반환된다.
    }

		// 토큰 검증
    public boolean validateToken(String token) {
        try {
            Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
            return true;
        } catch (SecurityException | MalformedJwtException e) {
            log.info("Invalid JWT signature, 유효하지 않는 JWT 서명 입니다.");
        } catch (ExpiredJwtException e) {
            log.info("Expired JWT token, 만료된 JWT token 입니다.");
        } catch (UnsupportedJwtException e) {
            log.info("Unsupported JWT token, 지원되지 않는 JWT 토큰 입니다.");
        } catch (IllegalArgumentException e) {
            log.info("JWT claims is empty, 잘못된 JWT 토큰 입니다.");
        }
        return false;
    }

		// 토큰에서 사용자 정보 가져오기
    public Claims getUserInfoFromToken(String token) {
        return Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody();
    // 인증한 토큰에서 사용자 정보 body를 가져온다
    // 앞에서 토큰 검증을 했기때문에 별도의 try catch를 추가하지 않은 형태
    }

 

JWT 적용

User API 설계 변경

기능	메서드	URL	요청	응답
로그인	POST	api/user/login	{ "username" : String, ”password” : String } ajax형식으로 보냄	Header Authorization : Bearer <JWT> success

쿠키 저장되는 모습 실습

생성된 JWT 디코딩 실습

+ 주의 : JWT Payload에 비밀번호 등의 정보는 넣으면 안된다. ~ JWT은 누구나 복호화할수 있기 때문에

 

JWT를 사용한 관심상품 조회하기

User와 Product 간 연관관계 설정이 필요하다

관심상품 조회할 때 토큰 보내기

관심상품 추가할 때 토큰 보내기

관심상품 최저가 추가할 때 토큰 보내기