[Security] JWT 구현 (3) - 토큰 생성기 구현 (JWT TokenProvider)

JWT 설정 추가

[Security] Jwt Authentication 구현 by Overriding Spring Security 인증 아키텍쳐

이 전에는 UsernamePasswordAuthenticationFilter의 successfulAuthentication() 메소드에서 Token 정보를 지정하고 JWT를 만들어 주었었습니다.

 

하지만 application.yml 파일에 JWT 관련 설정을 추가하여 JWT 생성 정보를 지정해줄 수 있습니다.

 

apllication.yml에 JWT 관련 설정 추가

jwt:
  header: Authorization
  secret: ZGhybmZtYQo=
  token-validity-in-seconds: 86400

• Response header 이름 : Authorization

• secret key(Base64Encode) : 서버의 시크릿 키 (dhrnfma|base64)
• token-validity-in-seconds : 만료 시간 설정 86400초

 

Dependency 추가 (build.gradle)

implementation group: 'io.jsonwebtoken', name: 'jjwt-api', version: '0.11.5'
runtimeOnly group: 'io.jsonwebtoken', name: 'jjwt-impl', version: '0.11.5'
runtimeOnly group: 'io.jsonwebtoken', name: 'jjwt-jackson', version: '0.11.5'

 

JWT 토큰 핸들러 구현

본격적으로 JWT 관련 기능들을 개발해봅시다.

 

JWT 구현에 있어, 토큰의 생성과 검증을 담당하는 클래스를 별도로 만들어 사용할 것이기 때문에, TokenProvider라는 클래스를 만들어 줍시다.

TokenProvider

@Component
public class TokenProvider implements InitializingBean {

    private final Logger logger = LoggerFactory.getLogger(TokenProvider.class);

    private static final String AUTHORITIES_KEY = "auth";

    private final String secret;
    private final long tokenValidityInMilliseconds;

    private Key key;
    
   
    public TokenProvider(@Value("${jwt.secret}") String secret,
                         @Value("${jwt.token-validity-in-seconds}") long tokenValidityInseconds) {
        this.secret = secret;
        this.tokenValidityInMilliseconds = tokenValidityInseconds * 1000;
    }
	
    @Override
    public void afterPropertiesSet() {
        byte[] keyBytes = Decoders.BASE64.decode(secret);
        this.key = Keys.hmacShaKeyFor(keyBytes);
    }
	
    
    // 토큰 생성
    public String createToken(Authentication authentication) {
        String authorities = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.joining(","));

        long now = (new Date()).getTime();
        Date validity = new Date(now + this.tokenValidityInMilliseconds);

        return Jwts.builder()
                .setSubject(authentication.getName())
                .claim(AUTHORITIES_KEY, authorities)
                .signWith(key, SignatureAlgorithm.HS512)
                .setExpiration(validity)
                .compact();
    }
	
    
    // 토큰 해독 (토큰으로부터 Authentication 객체 추출)
    public Authentication getAuthentication(String token) {
        Claims claims = Jwts
                .parserBuilder()
                .setSigningKey(key)
                .build()
                .parseClaimsJws(token)
                .getBody();

        Collection<? extends GrantedAuthority> authorities =
                Arrays.stream(claims.get(AUTHORITIES_KEY).toString().split(","))
                        .map(SimpleGrantedAuthority::new)
                        .collect(Collectors.toList());

        User principal = new User(claims.getSubject(), "", authorities);

        return new UsernamePasswordAuthenticationToken(principal, token, authorities);
    }
	
    
    // 토큰 검증 
    public boolean validateToken(String token) {
        try {
            Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
            return true;
        } catch (io.jsonwebtoken.security.SecurityException | MalformedJwtException e) {
            logger.info("잘못된 JWT 서명입니다.");
        } catch (ExpiredJwtException e) {
            logger.info("만료된 JWT 토큰입니다.");
        } catch (UnsupportedJwtException e) {
            logger.info("지원되지 않는 JWT 토큰입니다.");
        } catch (IllegalArgumentException e) {
            logger.info("JWT 토큰이 잘못되었습니다.");
        }
        return false;
    }
}

 

TokenProvider - 생성자 및 초기화

public TokenProvider(@Value("${jwt.secret}") String secret,
                     @Value("${jwt.token-validity-in-seconds}") long tokenValidityInseconds) {
    this.secret = secret;
    this.tokenValidityInMilliseconds = tokenValidityInseconds * 1000;
}

• yml에 설정해둔 정보를 기반(시크릿 키, 만료 시간)으로 TokenProvider를 생성합니다.

@Override
public void afterPropertiesSet() {
    byte[] keyBytes = Decoders.BASE64.decode(secret);
    this.key = Keys.hmacShaKeyFor(keyBytes);
}

afterPropertiesSet() 은 InintializingBean 인터페이스의 메소드로 BeanFactory에 의해 모든 property 가 설정되고 난 뒤 실행되는 메소드입니다. 생성자가 실행된 이후 시크릿 키를 Base64로 인코딩 후 HMAC-SHA 알고리즘으로 암호화합시다.

 

빈 LifeCycle : 생성) @PostConstruct ▶︎ InitializingBean Interface의 afterPropertiesSet() ▶︎ @Bean 의 initMethod
빈 LifeCycle : 소멸) @PreDestroy ▶︎ DisposableBean Interface의 destroy() ▶︎ @Bean의 destroyMethod

 

토큰 생성 메소드부터 파헤쳐 봅시다.

TokenProvider - createToken(Authentication)

public String createToken(Authentication authentication) {
    String authorities = authentication.getAuthorities().stream()
            .map(GrantedAuthority::getAuthority)
            .collect(Collectors.joining(","));

    long now = (new Date()).getTime();
    Date validity = new Date(now + this.tokenValidityInMilliseconds);

    return Jwts.builder()
            .setSubject(authentication.getName())
            .claim(AUTHORITIES_KEY, authorities)
            .signWith(key, SignatureAlgorithm.HS512)
            .setExpiration(validity)
            .compact();
}

Authentication 객체의 property를 기반으로 Token을 생성하는 메소드입니다.

 

동작 방식은 이렇습니다.

1. Authentication.getAuthorities() 메소드를 통해 UserDetails의 authorities를 반환하여 권한 정보를 받아냅니다.
2. 현재 시간을 받아냅니다.
3. 권한 정보와 현재 시간을 토대로 Jwt Builder를 통해 토큰을 생성합니다.

토큰 생성 정보 : AUTHORITIES_KEY("auth")와 권한 정보를 추가
토큰화 해시 알고리즘 : HS512 사용.
토큰 만료기간 : 현재시간 + yml에 지정해둔 시간(86400s)

 

다음은 토큰 검증 메소드입니다.

TokenProvider - validateToken(token)

public boolean validateToken(String token) {
    try {
        Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
        return true;
    } catch (io.jsonwebtoken.security.SecurityException | MalformedJwtException e) {
        log.info("잘못된 JWT 서명입니다.");
    } catch (ExpiredJwtException e) {
        log.info("만료된 JWT 토큰입니다.");
    } catch (UnsupportedJwtException e) {
        log.info("지원되지 않는 JWT 토큰입니다.");
    } catch (IllegalArgumentException e) {
        log.info("JWT 토큰이 잘못되었습니다.");
    }
    return false;
}

• Jwt-Parser를 이용해 Claims객체로 파싱하는 과정에서 발생할 수 있는 예외를 try-catch로 처리하였습니다.
• validateToken은 검증이 완료되면 true, 그렇지 않으면 false를 리턴하여 검증 통과 여부를 리턴해줍니다.

 

다음은 토큰을 통해 인증정보를 만드는 메소드입니다.

TokenProvider - getAuthentication(token)

public Authentication getAuthentication(String token) {
    Claims claims = Jwts
            .parserBuilder()
            .setSigningKey(key)
            .build()
            .parseClaimsJws(token)
            .getBody();

    Collection<? extends GrantedAuthority> authorities =
            Arrays.stream(claims.get(AUTHORITIES_KEY).toString().split(","))
                    .map(SimpleGrantedAuthority::new)
                    .collect(Collectors.toList());

    User principal = new User(claims.getSubject(), "", authorities);

    return new UsernamePasswordAuthenticationToken(principal, token, authorities);
}

Jwt-Parser를 이용하여 입력받은 토큰을 파싱하며 Claims라는 객체를 얻을 수 있습니다.

이 Claims 객체를 통해 권한정보를 추출한 후,  권한정보와 claims의 subject를 토대로 User를 하나 생성하여 UsernamePasswordAuthenticationToken로 만들어 리턴합니다.

 

UsernamePasswordAuthenticationToken implements Authentication

 

<참고자료>

 

본 포스팅은 정은구님의 Spring Boot JWT Tutorial 강의를 참고하여 작성하였습니다.

[무료] Spring Boot JWT Tutorial - 인프런 | 강의