[Security] Jwt Authentication 구현 by Overriding Spring Security 인증 아키텍쳐

이번 포스팅에서는 Spring Security에 Jwt 을 적용한 인증(Authentication)방식에 대해 알아보고,

다음 포스팅에서는 인증에 기반한 인가(권한검사,Authorization)방식에 대해 알아보도록 하겠습니다.

🚩Security Filter

http.csrf().disable()
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션 사용 X, Stateless
        .and()
        .formLogin().disable() // 폼 로그인 사용 X
        .httpBasic().disable() // http 기반 인증방식 (ID, PW로 검증) 사용 X

csrf().disable() : Cross Site Request Forgery 방지
sessionCreationPolicy : JWT 인증방식을 사용할 예정이고, 세션을 사용하지 않기 때문에, 세션을 적용하지 않기 위해 SessionCreationPolicy를 Stateless로 변경.
formLogin().disable() : HTTP Form Based Authentication을 사용하지 않고 로그인 시 Json으로 request 예정이므로 폼 로그인 옵션을 꺼줍니다.
httpBasic().disable() : HTTP Basic Authentication 방식을 사용하지 않을 예정이므로 옵션을 꺼줍니다.

HTTP Basic Authentication 이란?

특정 리소스에 접근 요청할때 브라우저가 사용자의 username, password 만 확인하여 제한하는 인증 방법입니다.

HTTP Basic Authentication은 어떻게 동작할까 ?

1. 인증되지 않은 유저가 제한된 요청을 서버에 요청

2. 서버는 클라이언트에게 username, password 요청

3. 클라이언트는 다시 username, password를 헤더에 담아 요청

4. 서버에서 일치하면 200 실패하면 401 에러 리턴

쿠키와 세션 사용하지 않고 보안에 취약하단 점이 특징이고,
외부에서도 요청 헤더를 볼 수 있으므로 HTTPs와 사용하는 것이 필수적입니다.

이제 "/login" 요청에 대해 Spring Security가 가로채서 처리할 수 있는 필터를 만들어봅시다.

🚩Jwt-Authentication-Filter 생성

전체적인 동작방식은 당연히 Spring Security의 인증 아키텍쳐와 동일한 Flow를 갖습니다.

다만 필터를 Jwt 인증방식으로 커스텀 해주기만 하면 됩니다.

우선 알아야 할 점은, Spring Security에는 UsernamepasswordAuthenticationFilter 라는 필터가 /login 요청에 대해서 가로채서 처리해준다는 것입니다.

우리는 이 UsernamePasswordAuthenticationFilter 필터를 상속받아 오버라이딩 후 Jwt 방식으로 리펙토링하여 SecurityConfig에 등록해주기만 하면 됩니다.

@Slf4j
@RequiredArgsConstructor
public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
    private final AuthenticationManager authenticationManager;

    // /login 요청을 하면 로그인 시도를 위해서 실행되는 함수
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException
    
    // Attempt attemptAuthentication 함수에서 로그인 Authentication 객체를 성공적으로 리턴받았을 때 실행되는 함수
	// 즉, 인증 성공시 실행
    @Override
	protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult)

UsernamePasswordAuthenticationFilter에는 실행되는 시점에 따른 메소드가 많이 있지만, 로그인 과정에서는 두 개의 메소드만 사용합니다.
1. attemptAuthentication 메소드 : /login 요청이 오면 로그인 시도를 위해서 실행되는 메소드입니다.
- 1. UsernamePasswordAuthenticationToken을 생성합니다.
- 2. AuthenticationManager에 접근하여 생성한 토큰으로 인증과정을 거쳐 Authenticate 객체 내부에 PrincipalDetails를 담아 리턴합니다.
2. successfulAuthentication 메소드 : attemptAuthentication 메소드에서 Authentication 객체를 성공적으로 리턴받았을때 실행되는 함수로 쉽게 말해 인증과정을 성공적으로 통과했을 때 실행되는 메소드입니다.
- 이 메소드를 통해서 위 그림의 과정과 같이 구현합시다.
- 이 메소드를 통해 PrincipalDetails를 토대로 Jwt를 생성하여 클라이언트에게 리턴해주도록 변경합시다.

우선 login 요청이 오면 로그인을 시도하기 위해 실행되는 함수인 attemptAuthentication 메소드를 리펙토링 해봅시다.

🚩UsernamePasswordAuthenticationFilter 구현 - 1. attemptAuthentication 메소드

1. RequestBody에 담은 username, password 정보를 LoginRequestDto로 변환

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

    // 1. Json(Username, Password) -> loginRequestDto 변환
    ObjectMapper om = new ObjectMapper();
    LoginRequestDto loginRequestDto = null;
    try {
        loginRequestDto = om.readValue(request.getInputStream(), LoginRequestDto.class);
    } catch (IOException e) {
        throw new RuntimeException(e);
    }

1. Username / Password Parsing ( Json To LoginRequestDto )

우선, /login 요청이 username과 password와 함께 들어왔을 때 필터에서는 요청받은 username과 password에 대해 파싱작업을 해주어야합니다.
RequestBody 형식으로 요청했기 때문에 ObjectMapper를 사용해 request의 json InputStream을 읽어 LoginRequestDto 클래스로 파싱작업을 해주었습니다.

LoginRequestDto를 통해 UsernamePasswordAuthenticationToken 생성

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

// 1. Json(Username, Password) -> loginRequestDto
...

// 2. loginRequestDto -> UsernamePasswordAuthentication Token 생성
UsernamePasswordAuthenticationToken authenticationToken =
	new UsernamePasswordAuthenticationToken(loginRequestDto.getUsername(),loginRequestDto.getPassword());

2. UsernamePasswordAuthenticationToken 생성

LoginRequestDto로 파싱된 정보를 바탕으로 UsernamePasswordAuthenticationToken을 생성합니다
인코딩 방식을 따로 지정하지 않으면 Bcrypt 방식으로 인코딩하여 토큰을 만듭니다.

AuthenticationManager에서 authenticate 메소드를 통해 2에서 생성한 토큰으로 사용자 정보 검증

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

// 1. Json(Username, Password) -> loginRequestDto
...

// 2. loginRequestDto -> UsernamePasswordAuthentication Token 생성
...

// 3. 2에서 username, password를 기반으로 BcryptEncoding으로 생성한 토큰으로 사용자 정보 검증
Authentication authentication = authenticationManager.authenticate(authenticationToken);

3. AuthenticationManager에서 위에서 생성한 UsernamePasswordAuthentication Token으로 AuthenticationProvider에게 검증을 요청합니다.

AuthenticationManager에서 authenticate() 메소드 호출 시 사실 내부적으로 AuthenticationProvicder가 아래 작업들을 수행합니다.

AuthenticaitonManager.authencate()에 내장된 작업

authenticate() 메소드

0. 내부적으로 AuthenticateProvider 호출

1. AuthenticateProvider가 UserDetailsService의 loadUserByUsername(username) 를 호출
2. loadUserByUsername(username) - username과 일치하는 사용자가 데이터베이스 내부에 존재하는지 확인

3. loadUserByUsername(username) - Bcrpyt로 인코딩된 password Token이 데이터베이스에 존재하는지 확인

4. 체인에 걸쳐 Authentication 객체내부에 UserDetails를 담아서 리턴합니다.

5. 위 그림과 같이 Authentication 객체가 Session 영역에 저장됩니다!

🚩 UsernamePasswordAuthenticationFilter 구현 - 2. successfulAuthentication 메소드

@Override
protected void successfulAuthentication(HttpServletRequest request,
        HttpServletResponse response,
        FilterChain chain,
        Authentication authResult) throws IOException, ServletException

UsernamePasswordAuthenticationFilter의 attemptAuthentication 함수에서 성공적으로 Authentication 객체를 리턴받으면 ArgumentResolver를 통해 successfulAuthentication 메소드의 Argument인 authResult에 자동으로 대입됩니다.

마지막으로 우리가 여기서 구현해야 할 부분은 바로 Authentication 내부의 UserDetails의 정보를 토대로 JWT 토큰을 만들어 클라이언트에게 리턴하는 것입니다.

Authenticate 객체를 성공적으로 받았으니 마지막으로 객체 내부의 UserDetails를 토대로 Jwt를 만들어 헤더에 담아 클라이언트에게 보내주자

@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
    PrincipalDetails principalDetails = (PrincipalDetails) authResult.getPrincipal();
    String jwtToken = JWT.create()
            .withSubject(principalDetails.getUsername())
            .withExpiresAt(new Date(System.currentTimeMillis() + JwtProperties.EXPIRATION_TIME))
            .withClaim("id", principalDetails.getUser().getId())
            .withClaim("username", principalDetails.getUser().getUsername())
            .sign(Algorithm.HMAC512(JwtProperties.SECRET));

    response.addHeader(JwtProperties.HEADER_STRING, JwtProperties.TOKEN_PREFIX+jwtToken);
}

Jwt 를 gradle에 dependencies로 주입해주었기 때문에, Builder로 Jwt 토큰을 생성할 수 있습니다.
- withSubject() : 토큰의 이름을 지정합니다.
- withExpiresAt() : 토큰의 유효기간을 지정합니다.
- withClaim() : 토큰에 담길 정보를 지정합니다.
- sign() : 토큰 암호화 알고리즘을 지정합니다. / 여기에 지정하는 SECRET은 서버만 알고있어야 하는 정보이므로 보안성있게 설정합시다.
response의 헤더에 생성한 Jwt를 담아 클라이언트에게 리턴합니다!

모든 준비가 끝났습니다. 이제 마지막으로 커스텀한 필터를 덮어씌워 줍시다.

🚩 SecurityConfig에 UsernamePasswordAuthentication Override

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션 사용 X, Stateless
            .and()
            .formLogin().disable() // 폼 로그인 사용 X
            .httpBasic().disable() // 기본인증방식 ID, PW 사용 X
            .apply(new MyCustomDsl())
            .and()
            .authorizeRequests()
            .antMatchers("/api/v1/user/**")
            .access("hasRole('ROLE_USER') or hasRole('ROLE_MANAGER') or hasRole('ROLE_ADMIN')")
            .antMatchers("/api/v1/manager/**")
            .access("hasRole('ROLE_MANAGER') or hasRole('ROLE_ADMIN')")
            .antMatchers("/api/v1/admin/**")
            .access("hasRole('ROLE_ADMIN')")
            .anyRequest().permitAll();

    return http.build();
}

public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class);
        http
                .addFilter(corsFilter)
                .addFilter(new JwtAuthenticationFilter(authenticationManager));// 인증
    }
}

🚩 Postman Test

회원 가입

json으로 들어온 password를 Bcrypt방식으로 인코딩하여 DB에 저장해줍시다.

응답 헤더에 Jwt가 담겨있는 것을 확인할 수 있습니다.
제한된 리소스에 접근할 때 이 Authorization 헤더의 jwt토큰 정보를 서버에 함께 보내서, 서버에서 토큰 검증을 하도록 하여야 하는데, 이 인가(Authorization)과정은 다음 포스팅에서 알아보도록 하겠습니다.

<정리>

이렇게 Spring Security 인증 아키텍쳐를 리펙토링하여 /login 요청을 성공적으로 인증한 클라이언트의 세션영역에 authentication 객체를 저장하고, Jwt 토큰을 Response Header에 담아 리턴해보았습니다.
이제 클라이언트는 리턴받은 Jwt토큰을 요청헤더에 함께 보내 제한된 리소스에 접근할 수 있습니다.
다음 포스팅에서는 서버에서 제한된 리소스 요청에 대해 Jwt 토큰을 검증하는 작업인 Jwt Authorization을 구현해보도록 하겠습니다.

<참고 자료>

https://datamoney.tistory.com/334

[Spring] Spring Security JWT 로그인 구현 (HTTP Basic Authentication / Form Based Authentication / JWT)

스프링 시큐리티와 JWT를 이용한 로그인을 구현해보려 한다. ➡️ 개념 정리 2023.01.09 - [Backend/Spring] - [Spring] Spring Security 기본 개념 (JWT / OAuth2.0 / 동작 방식 / 구성 요소) [Spring] Spring Security 기본 개

datamoney.tistory.com

https://datamoney.tistory.com/332

[Spring] Spring Security 기본 개념 (JWT / OAuth2.0 / 동작 방식 / 구성 요소)

JWT (Jason Web Token) 유저 인증, 식별하기 위한 토큰 기반의 인증 구조 헤더 (Header) 타입 (type) : 항상 JWT 알고리즘 (alg) 페이로드 (Payload) : 사용자 정보 담김 서명 (Verify Signature) 동작 방식 1. 클라이언

datamoney.tistory.com

https://nordvpn.com/ko/blog/csrf/

크로스 사이트 요청 위조(CSRF)의 의미

크로스 사이트 요청 위조란 무엇일까요? 이 글에서 크로스 사이트 요청 위조의 의미와 방지 방법을 확인해 보세요

nordvpn.com

https://devscb.tistory.com/123

CSRF란, CSRF 동작원리, CSRF 방어방법

CSRF란, CSRF 동작원리, CSRF 방어방법 CSRF란 CSRF란, Cross Site Request Forgery의 약자로, 한글 뜻으로는 사이트간 요청 위조를 뜻합니다. CSRF는 웹 보안 취약점의 일종이며, 사용자가 자신의 의지와는 무관

devscb.tistory.com

https://www.youtube.com/watch?v=mW-8MQ-4arU

저작자표시

'📕 Backend > Spring Security' 카테고리의 다른 글

[Security] JWT 구현 (1) - 프로젝트 생성 (0)	2023.06.06
[Security] Jwt Authorization 구현 by Overriding Spring Security 인증 아키텍쳐 (0)	2023.06.05
[Security] JWT(Json Web Token) 인증 방식 (0)	2023.06.02
[Security] 쿠키 vs 세션 vs 토큰 (0)	2023.06.02
[Security] OAuth2.0 네이버, 카카오 로그인 기능 추가 (0)	2023.06.01

블로그의 정보

Study Repository

rlaehddnd0422

[Security] Jwt Authentication 구현 by Overriding Spring Security 인증 아키텍쳐

🚩Security Filter

🚩Jwt-Authentication-Filter 생성

🚩UsernamePasswordAuthenticationFilter 구현 - 1. attemptAuthentication 메소드

1. Username / Password Parsing ( Json To LoginRequestDto )

2. UsernamePasswordAuthenticationToken 생성

3. AuthenticationManager에서 위에서 생성한 UsernamePasswordAuthentication Token으로 AuthenticationProvider에게 검증을 요청합니다.

🚩 UsernamePasswordAuthenticationFilter 구현 - 2. successfulAuthentication 메소드

🚩 SecurityConfig에 UsernamePasswordAuthentication Override

🚩 Postman Test

회원 가입

로그인

'📕 Backend > Spring Security' 카테고리의 다른 글

블로그의 정보

활동하기

티스토리툴바

🚩Security Filter

🚩Jwt-Authentication-Filter 생성

🚩UsernamePasswordAuthenticationFilter 구현 - 1. attemptAuthentication 메소드

1. Username / Password Parsing ( Json To LoginRequestDto )

2. UsernamePasswordAuthenticationToken 생성

3. AuthenticationManager에서 위에서 생성한 UsernamePasswordAuthentication Token으로 AuthenticationProvider에게 검증을 요청합니다.

🚩 UsernamePasswordAuthenticationFilter 구현 - 2. successfulAuthentication 메소드

🚩 SecurityConfig에 UsernamePasswordAuthentication Override

🚩 Postman Test

회원 가입

로그인

'📕 Backend > Spring Security' 카테고리의 다른 글

블로그의 정보

활동하기

공유하기

다른 글

티스토리툴바