OAuth2와 JWT의 코드 구현

[RTUnu12]

해당 글은 코드 구현을 설명하는 것이기에 OAuth2와 JWT가 무엇인지는 참고 링크를 찾아보시길 바랍니다.
또한, 해당 글은 코드 구현을 최대한 간단하게 구현한 것이기에, 더 정교하고 자세히 구현한 코드도 찾아보시길 바랍니다.
이 글은 Access Token만 구현되어 있습니다. 추후 Refresh Token과 로그아웃도 구현할 예정입니다.

참고

• OAuth 2.0과 JWT의 콜라보
• JWT(Json Web Token)
• 자세한 코드 구현
• 구현2

OAuth2란?

• 인증을 위한 개방형 표준 프로토콜
  • 서드 파티 프로그램에게 리소스 소유자를 대신해 리소스 서버에서 제공하는 자에 대한 접근 권한을 위임하는 방식
  • 과거엔 쿠키, 세션 등으로 인증 절차를 수행하였으나 각자의 단점이 있어 밑의 JWT를 쓰게 되었다.

풀어서 설명하자면 카카오 로그인같이 간편 로그인을 사용할 때 카카오에서 관리자에게 이 접근 권한을 위임하는 것이다.

JWT란?

• 인터넷 표준 방식, 즉 Token에 인증에 필요한 정보들을 Token에 담아 암호화시켜 사용하는 토큰
  • 방식 자체는 쿠키와 비슷하지만 쿠키와 달리 JWT는 서명된 토큰이다.
  • 그렇기에, 공개/개인 키를 쌍으로 사용하여 토큰에 서명할 경우 서명된 토큰은 개인 키를 보유한 서버가 이 서명된 토큰이 정상적인 토큰인지 인증할 수 있게 된다.

코드 구현 (카카오 로그인)

전체 실행 과정

0. 설정 (properties, SecurityConfig)
1. 사용자가 OAuth2 로그인 요청을 보냄
2. 로그인 페이지로 리다이렉트
3. JWT 발급 및 리다이렉트 (Handler, Provider, Service, Entity)
4. JWT를 사용한 인증 요청
5. JWT 검증 및 사용자 인증 (Filter, Provider)
6. 로그아웃 및 Refresh Token 무효화 (개발 예정)

0. 설정

build.gradle

• JWT와 OAuth2의 dependency 설정

// oauth2 dependency
implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'

// jwt token
implementation group: 'io.jsonwebtoken', name: 'jjwt-api', version: '0.11.5'
runtimeOnly group: 'io.jsonwebtoken', name: 'jjwt-impl', version: '0.11.5'
runtimeOnly group: 'io.jsonwebtoken', name: 'jjwt-jackson', version: '0.11.5'

application.properties

• JWT Secret Key 생성 : gitbash에서 openssl rand -hex 64을 입력
• 카카오의 registration 설정
• 카카오의 provider 설정 (구글, 페이스북과 달리 네이버, 카카오는 provider를 직접 설정해 줘야 한다.)

# JWT Secret Key
secret.key = ThisIsNotJWTDoNotUseThis

# registration - kakao
spring.security.oauth2.client.registration.kakao.client-id={CLIENT_ID}
spring.security.oauth2.client.registration.kakao.client-secret={CLIENT_SECRET}
spring.security.oauth2.client.registration.kakao.redirect-uri={baseUrl}/oauth2/callback/kakao
spring.security.oauth2.client.registration.kakao.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.kakao.client-authentication-method=client_secret_post
spring.security.oauth2.client.registration.kakao.scope=profile_nickname, profile_image
spring.security.oauth2.client.registration.kakao.client-name=kakao

# provider - kakao
spring.security.oauth2.client.provider.kakao.authorization-uri=https://kauth.kakao.com/oauth/authorize
spring.security.oauth2.client.provider.kakao.token-uri=https://kauth.kakao.com/oauth/token
spring.security.oauth2.client.provider.kakao.user-info-uri=https://kapi.kakao.com/v2/user/me
# 응답의 최상단을 뜻하며, naver의 경우는 response로 해야 한다.
spring.security.oauth2.client.provider.kakao.user-name-attribute=id

SecuritryConfig.java

• 세션을 STATELESS로 하여 서버가 클라이언트의 상태를 유지하지 않게 함
• OAuth2 설정
  • 로그인 엔드포인드 설정
  • 콜백 엔드포인트 설정
  • 유저를 사용할 서비스 설정
  • 성공 시 핸들러 설정
• 실패 시 메시지 설정 (선택 사항)
• 필터 설정

...
                .sessionManagement(sessionManagement -> sessionManagement
                        .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                )
                .oauth2Login(oauth2 -> oauth2
                        .authorizationEndpoint(endpoint -> endpoint.baseUri("/api/v1/auth/oauth2"))
                        .redirectionEndpoint(endpoint -> endpoint.baseUri("/oauth2/callback/*"))
                        .userInfoEndpoint(endpoint -> endpoint.userService(oAuth2UserService))
                        .successHandler(oAuth2SuccessHandler)
                )
                .exceptionHandling(exceptionHandling -> exceptionHandling // 실패 시 해당 메시지 반환
                        .authenticationEntryPoint(new FailedAuthenticationEntryPoint())
                )
                .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

        return http.build();

1. 사용자가 OAuth2 로그인 요청을 보냄

• authorizationEndpoint로 설정한 링크로 요청을 보냄

2. 로그인 페이지로 리다이렉트

• redirectionEndpoint로 설정한 콜백 URL로 리다이렉트돰 (카카오에서 콜백 URL 설정 가능)

3. JWT 발급 및 리다이렉트 (Handler, Provider, Service)

• 로그인 성공 시 OAuth2SuccessHandler가 실행됨
• 여기서 JwtProvider로 kakaoId의 Token 생성 (여기선 Access만 구현됨. 추후 Refresh 구현 예정)
• 이후 사용자를 리다이렉트

OAuth2SuccessHandler

@Component
@RequiredArgsConstructor
public class OAuth2SuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    private final JwtProvider jwtProvider;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        Member oauth2User = (Member) authentication.getPrincipal();
        String kakaoId = Long.toString(oauth2User.getKakaoId());
        String token = jwtProvider.create(kakaoId);
        response.sendRedirect("http://localhost:8080/auth/oauth-response/"+token+"/3600");
    }
}

JwtProvider

• properties의 secret key로 Access Token을 만든다.

@Component
public class JwtProvider {
    @Value("${secret.key}")
    private String secretKey;

    public String create(String kakaoId){
        // 만료 시간
        Date expiredDate = Date.from(Instant.now().plus(1, ChronoUnit.HOURS));

        // 비밀 키 만들기
        Key key = Keys.hmacShaKeyFor(secretKey.getBytes(StandardCharsets.UTF_8));

        // JWT 만들기
        return Jwts.builder()
                .signWith(key, SignatureAlgorithm.HS256)
                .setSubject(kakaoId).setIssuedAt(new Date()).setExpiration(expiredDate)
                .compact();
    }
...

MemberService

• DefaultOAuth2UserService를 상속받으며 loadUser()를 오버라이딩하여 실제 유저 정보를 저장한다.
• super.loadUser() 를 통해 OAuth2User 타입의 유저를 받은 뒤 엔티티에 저장하기 위해 attribute를 Map 등으로 분리하여 저장한다.

@Service
@RequiredArgsConstructor
public class MemberService extends DefaultOAuth2UserService {
    private final MemberRepository memberRepository;

    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
        OAuth2User oAuth2User = super.loadUser(userRequest);
        String oauth2ClientName = userRequest.getClientRegistration().getClientName();

        Map<String, Object> attributes = oAuth2User.getAttributes();
        Map<String, Object> properties = (Map<String, Object>) attributes.get("properties");

        Member member = new Member();

        if("kakao".equals(oauth2ClientName)){
            member = Member.builder()
                    .memberNickname(properties.get("nickname").toString())
                    .kakaoId(Long.parseLong(attributes.get("id").toString()))
                    .memberProfile(properties.get("profile_image").toString())
                    .build();
        }
        memberRepository.save(member);
        return member;
    }
}

MemberEntity

• Service에서 loadUser로 받고 이를 리턴해야 하기에 OAuth2User를 상속받아야 함
• 무조건 재정의해야하는 메소드들은 return null로 놔둬도 됨.

@Entity
@Getter
@SQLDelete(sql = "update `Member` set `is_delete` = true where `member_id`=?")
@SQLRestriction("is_delete = FALSE")
@NoArgsConstructor
public class Member implements OAuth2User {

    @Id
    @Column(name = "member_id")
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private long memberId;

    @Column(nullable = false, name = "member_nickname", length = 30)
    private String memberNickname;

    @Column(nullable = false, name = "kakao_id")
    private long kakaoId;

    @Column(nullable = false, name = "is_delete")
    private boolean isDelete;

    @Column(name = "member_profile", length = 300)
    private String memberProfile;

    @Enumerated(EnumType.STRING)
    @Column(nullable = false, name="role")
    private Role role;

    @Builder
    protected Member(String memberNickname, long kakaoId, String memberProfile) {
        this.memberNickname = memberNickname;
        this.kakaoId = kakaoId;
        this.memberProfile = memberProfile;
        this.isDelete = false;
        this.role = Role.ROLE_USER;
    }

    public void update(String memberNickname, String memberProfile){
        this.memberNickname = memberNickname;
        this.memberProfile = memberProfile;
    }

    @Override
    public Map<String, Object> getAttributes() {
        return null;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getName() {
        return this.memberNickname;
    }
}

4. JWT를 사용한 인증 요청

• 클라이언트는 서버로 받은 Access Token을 Authorization 헤더에 포함하여 서버로 요청을 보냄

GET /api/protected-resource
Authorization: Bearer {accessToken}

5. JWT 검증 및 사용자 인증 (Filter, Provider)

• 서버는 Filter를 통해 들어오는 요청의 JWT를 Provider의 검증 메소드로 검증함

JwtAuthenticationFilter

• doFilterInternal() : 이 메소드는 각 요청에 대해 실행되며, JWT를 검증하고 사용자의 인증 정보를 설정
• parseBearerToken() : 요청 헤더에서 JWT 추출

@Component
@RequiredArgsConstructor
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    private final JwtProvider jwtProvider;
    private final MemberRepository memberRepository;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 1. JWT 추출
        String token = parseBearerToken(request);
        if(token == null){ // Bearer 인증 방식이 아니거나 빈 값일 경우 진행하지 말고 다음 필터로 바로 넘김
            filterChain.doFilter(request, response);
            return;
        }

        // 2. JWT 검증
        String kakaoId = jwtProvider.validate(token);
        if(kakaoId == null){ // 검증 실패 시 다음 필터로 바로 넘김
            filterChain.doFilter(request, response);
            return;
        }

        // 3. 사용자 정보 조회
        Member member = memberRepository.findByKakaoId(Long.parseLong(kakaoId));
        Role role = member.getRole(); // ROLE_USER, ROLE_ADMIN

        // 4. 권한 설정
        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority(role.toString()));

        // 5. SecurityContext 설정
        SecurityContext securityContext = SecurityContextHolder.createEmptyContext();
        // pwd는 토큰에 추가X -> null
        AbstractAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(kakaoId, null, authorities);
        authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        securityContext.setAuthentication(authenticationToken);
        SecurityContextHolder.setContext(securityContext);

        filterChain.doFilter(request, response);
    }

    private String parseBearerToken(HttpServletRequest request) {
        String authorization = request.getHeader("Authorization"); // 응답의 헤더에서 뽑아옴

        boolean hasAuthorization = StringUtils.hasText(authorization);
        if(!hasAuthorization) return null; // null이거나 문자가 아닌 경우 null

        boolean isBearer = authorization.startsWith("Bearer ");
        if(!isBearer) return null; // 아닐 경우 Bearer 인증 방신이 아님 -> null

        return authorization.substring(7);
    }
}

JwtProvider

...
    public String validate(String jwt){
        String subject = null;
        Key key = Keys.hmacShaKeyFor(secretKey.getBytes(StandardCharsets.UTF_8));
        try{
            Claims claims = Jwts.parserBuilder()
                    .setSigningKey(key)
                    .build()
                    .parseClaimsJws(jwt)
                    .getBody();
            subject = claims.getSubject();
        } catch (Exception e){
            e.printStackTrace();
            return null;
        }
        return subject;
    }
}

6. 로그아웃 및 Refresh Token 무효화 (구현 예정)

• 사용자가 로그아웃을 요청하면, Refresh Token을 무효화하거나 삭제하여 사용자가 더 이상 새 Access Token을 발급받지 못하도록 함

[f1v3-dev]

같이 의논하면 좋을 내용이 있는 것 같아요!

JwtProvider.class에서 @value 어노테이션을 통해 properties의 값을 가져오고, 그 값을 사용해서 메서드(create, validate) 내부에서 Key를 만들어서 사용하는 것으로 보여요!

이러한 경우에, 높은 빈도로 요청이 있을 경우엔 성능상 문제가 발생할 것 같다고 생각이 들어요. 매 요청마다 같은 값을 반환하는 Key 값이지 않나요?
그러한 경우에, JwtProvider.class가 컴포넌트니까 생성될 때 Key 값을 초기화하고 들고있는 방식은 어떤가요?

@Component
public class JwtProvider {

   private final Key key;

   public JwtProvider(@Value("${secret.key") String secretKey) {
       // JWT 서명을 위한 SecretKey 생성
       this.key = Keys.hmacShaKeyFor(secretKey.getBytes(StandardCharsets.UTF_8));
   }

// ...

이러한 경우에, 각 메서드마다 같은 값을 반환하는 키 생성 메서드를 호출하지 않아도 될 것 같아요! 태웅님 생각은 어떠신가요?

[RTUnu12]

솔직히 저 성능의 차이는 잘...모르겠으나
생성될 때 생성자로 값 고정 후 실행하는 건 좋은 테크닉같아 보입니다.

[f1v3-dev]

제 생각엔 트래픽 빈도에 따른 성능 차이와 유지보수 측면에서 객체를 미리 생성(캐싱) 해서 사용하는게 더 좋아보여요!! ㅋㅋㅋㅋㅋ

[RTUnu12]

아아 네 알겠습니다 그 부분은 몰랐네요...

[f1v3-dev]

항상 좋은 방법은 없는지에 대해 함께 고민해봐요 😁

[f1v3-dev]

정말 깔끔하게 잘 정리하셔서 놀랐습니다 고생하셨어요! 👍 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ (글이 너무 잘 읽혀요..)

[RTUnu12]

이정도로 극찬할 줄 몰랐는데... 후에 로그아웃과 refresh Toekn 구현하면 업데이트하겠습니다