[Security] Jwt Authorization 구현 by Overriding Spring Security 인증 아키텍쳐

지난 포스팅에 이어 Spring Security에 필터를 커스텀하여 Authorization Filter를 구현해봅시다.

로그인에 Jwt 방식을 적용할 때, Authentication Filter에서는 요청헤더를 인코딩하여 토큰으로 변환시키고.. authenticate()를 통해 토큰과 DB의 사용자 정보를 비교하여 검증하고.. 토큰을 만들어 응답헤더에 설정하고.. 등 꽤 복잡한 과정을 거쳐 인증이 이루어졌습니다.

하지만, Authorization의 과정은 비교적 간단합니다!

클라이언트가 서버에 제한된 리소스에 대한 요청을 보낼 때 Authentication 과정에서 발급받은 JWT를 요청헤더에 보내고,

서버에서는 이 토큰이 유효한지 검사 후 유효하면 요청에 대한 응답을 보내주면 됩니다.

이 과정에서 필요한 필터는 바로 'BasicAuthenticationFilter' 입니다.

BasicAuthenticationFilter

이 필터는 Authorization, Authentication이 필요한 특정 주소를 요청할 때 사용되는 필터입니다.

순수하게 로그인(인증)에만 사용되었던 UsernamePasswordAuthenticationFilter과 마찬가지로 이 필터를 상속받아 JWT 방식에 맞게 리펙토링하고 등록해봅시다.

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {

public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
    super(authenticationManager);
}

BasicAuthentication 필터는 AuthenticationManager를 사용하기 때문에 생성자에 반드시 넣어 주어야 합니다.

public JwtAuthorizationFilter(AuthenticationManager authenticationManager, AuthenticationEntryPoint authenticationEntryPoint) {
    super(authenticationManager, authenticationEntryPoint);
}

+ 추가적으로 여기에서 AuthenticationEntryPoint는 인증 처리 과정에서 예외가 발생하는 경우 예외를 처리해주는 핸들러입니다.

지금 당장 예외 처리는 우선적이지는 않기 때문에 첫 번째 생성자를 사용하도록 하겠습니다.

BasicAuthenticationFilter - doFilterInternal()

일반적인 필터의 doFilter의 기능을 하는 메소드로, 실질적으로 이 메소드에 권한, 인증에 대한 검증로직이 구현되어야 합니다.

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
    String jwtHeader = request.getHeader("Authorization");

    // 헤더가 있는지 확인
    if (jwtHeader == null || !jwtHeader.startsWith("Bearer")) {
        chain.doFilter(request, response);
        return;
    }

    String jwtToken = request.getHeader("Authorization").replace("Bearer ","");
    String username = JWT.require(Algorithm.HMAC512("cos")).build().verify(jwtToken).getClaim("username").asString();

    // 서명이 정상적으로 됨
    if (username != null) {
        Optional<User> userEntity = userRepository.findByUsername(username);
        PrincipalDetails principalDetails = new PrincipalDetails(userEntity.get());
        log.info("HI");
        // Jwt 토큰 서명을 통해 서명이 정상이면 Authentication 객체 생성
        Authentication authentication = new UsernamePasswordAuthenticationToken(principalDetails, null, principalDetails.getAuthorities());

        log.info("{}", authentication.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authentication);
        chain.doFilter(request, response);
    }
    super.doFilterInternal(request, response, chain);
}

로직은 이렇습니다.

1. 우선 Request Header에 Authorization이 있는지 확인합니다. ( 로그인 과정에서 발급받은 JWT )

2. 없다면 다음 필터로 넘기고 리턴.

3. 있다면 발급받은 토큰의 베리어를 벗기고, 순수 Jwt 만 추출합니다.

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC512(JwtProperties.SECRET)).build();
String username = jwtVerifier.verify(jwtToken).getClaim("username").asString();

4. JWT의 require 메소드로 토큰을 검증할 수 있습니다.
- 시크릿 키를 가지고 토큰 해독 객체를 생성합니다.
- 토큰 해독객체를 통해 요청 헤더로 받은 토큰을 해독하여 username의 필드값을 string으로 변환
- username이 null이 아니라면 서명이 정상적으로 되었다고 봐도 무방.

// 서명이 정상적으로 됨
if (username != null) {
    Optional<User> userEntity = userRepository.findByUsername(username);
    PrincipalDetails principalDetails = new PrincipalDetails(userEntity.get());
    
    // Jwt 토큰 서명을 통해 서명이 정상이면 Authentication 객체 생성
    Authentication authentication = new UsernamePasswordAuthenticationToken(principalDetails, null, principalDetails.getAuthorities());

    SecurityContextHolder.getContext().setAuthentication(authentication);
    chain.doFilter(request, response);
}

서명(인증)은 통과했으니 이제 인가만 처리해주면 됩니다.
- jwt를 해독하여 얻은 username을 찾고, 찾은 user를 PrincipalDetails에 담아 Authentication 객체를 만들어줍시다.
- 마지막으로, 만든 Authentication 객체를 SecurityContext에 담아주고 다음 필터로 진행시킵니다.
Authentication 객체를 Security Context에 담아서, Authorization을 처리하였습니다.
- 서버에서는 Security Context에 담긴 Authentication 객체 내부의 UserDetails 객체의 Role 정보를 확인하여 요청을 허용할지, 거부할지 판단합니다.

필터 처리가 모두 끝났습니다. SecurityConfig의 필터에 등록해주고 Postman으로 테스트해봅시다.

필터 Override

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class SecurityConfig{

    private final CorsFilter corsFilter;
    private final UserRepository userRepository;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션 사용 X, Stateless
                .and()
                .formLogin().disable() // 폼 로그인 사용 X
                .httpBasic().disable() // 기본인증방식 ID, PW 사용 X
                .apply(new MyCustomDsl())
                .and()
                .authorizeRequests()
                .antMatchers("/api/v1/user/**")
                .access("hasRole('ROLE_USER') or hasRole('ROLE_MANAGER') or hasRole('ROLE_ADMIN')")
                .antMatchers("/api/v1/manager/**")
                .access("hasRole('ROLE_MANAGER') or hasRole('ROLE_ADMIN')")
                .antMatchers("/api/v1/admin/**")
                .access("hasRole('ROLE_ADMIN')")
                .anyRequest().permitAll();

        return http.build();
    }

    public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
        @Override
        public void configure(HttpSecurity http) throws Exception {
            AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class);
            http
                    .addFilter(corsFilter)
                    .addFilter(new JwtAuthenticationFilter(authenticationManager))// 인가
                    .addFilter(new JwtAuthorizationFilter(authenticationManager,userRepository)); // 인증
        }
    }

Postman 검증

Login을 통해 JWT 발급

JWT를 요청 헤더에 넣어서 제한된 리소스 요청

권한 변경 후 admin 페이지 요청 Test

<정리>

로그인에서 발급받은 JWT를 사용해서, 인증, 인가가 필요한 제한된 리소스 접근 요청에 대해 처리해주는 필터를 JWT 인증 방식으로 리펙토링하여 적용해보았습니다.
BasicAuthenticationFilter는 인증, 인가가 필요한 제한된 리소스 접근 요청 시 호출되는 필터입니다.
Spring Security의 전체적인 인증 아키텍처의 흐름을 이해하면, Jwt Base의 Authentication, Authorization을 처리하는 로직들을 쉽게 이해할 수 있습니다.

<참고 자료>

https://www.youtube.com/watch?v=mW-8MQ-4arU

[Spring Boot] 스프링 부트에서 JWT 사용하기

JWT란? [블로그 링크 예정] 스프링부트에서 로그인을 하였을 때 Access Token을 발급해주는 것과 사용자가 헤더에 토큰을 담아 보냈을 때 접근가능한 사용자인지 아닌지를 체크하는 예제를 진행해보

devlog-wjdrbs96.tistory.com

저작자표시

'📕 Backend > Spring Security' 카테고리의 다른 글

[Security] JWT 구현 (2) - Security 설정, 데이터 삽입 (0)	2023.06.06
[Security] JWT 구현 (1) - 프로젝트 생성 (0)	2023.06.06
[Security] Jwt Authentication 구현 by Overriding Spring Security 인증 아키텍쳐 (0)	2023.06.05
[Security] JWT(Json Web Token) 인증 방식 (0)	2023.06.02
[Security] 쿠키 vs 세션 vs 토큰 (0)	2023.06.02

블로그의 정보

Study Repository

rlaehddnd0422

[Security] Jwt Authorization 구현 by Overriding Spring Security 인증 아키텍쳐

BasicAuthenticationFilter

BasicAuthenticationFilter - doFilterInternal()

로직은 이렇습니다.

Postman 검증

Login을 통해 JWT 발급

JWT를 요청 헤더에 넣어서 제한된 리소스 요청

권한 변경 후 admin 페이지 요청 Test

'📕 Backend > Spring Security' 카테고리의 다른 글

블로그의 정보

활동하기

티스토리툴바

BasicAuthenticationFilter

BasicAuthenticationFilter - doFilterInternal()

로직은 이렇습니다.

Postman 검증

Login을 통해 JWT 발급

JWT를 요청 헤더에 넣어서 제한된 리소스 요청

권한 변경 후 admin 페이지 요청 Test

'📕 Backend > Spring Security' 카테고리의 다른 글

블로그의 정보

활동하기

공유하기

다른 글

티스토리툴바