수준별 학습반_베이직반 7회차 세션

베이직반

인증인가 활용(토큰인증방식: JWT)

12/26 11:00 ~ 12:10 (약 1시간 10분 진행)

JWT

https://jwt.io/

JWT.IO

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

jwt.io

암호화가 아니다!
그냥 단지 기존 토큰의 변조를 막기 위해서 JWT의 Signature를 사용하는 것이다. → 변조를 막기 위해서 들어간다.
첫 번째 영역은 HEADER라는 곳이다.
- 서명이 사용된 알고리즘이 무엇인지, 토큰의 타입이 무엇인지 알려주는 구역이다.
- 연산할 때 사용되는 알고리즘을 뜻한다.
두 번째 영역은 PAYLOAD라는 곳이다. → 기존 토큰은 이것만 있으면 된다.
- 데이터이다. 필요한 데이터가 담겨있는 구역이다.
세 번째 영역은 SIGNATURE하는 곳이다.(서명) → HEADER + PAYLOAD + 비밀키 = SIGNATURE
- 변조를 막기 위해서 생겼다.
- 비밀키는 변조가 되었는지 아닌지를 확인하는 데 쓰이는 기술이다.

흐름 & 구성도

1. 기본 스프링 요청 응답 처리 흐름도

2. 인증인가 흐름도

의문의 클라이언트가 Controller에 접근한다.
- 로그인에 접근해서 토큰을 발급 받고 인증이 필요한 API에 접근을 하게 되면 사용할 수 있다.

3. 실습: 토큰에서 활용할 객체 (JwtUtils)

public class JwtUtils {

	public String createToken() {
		// 1. 토큰 생성
		
		// 2. 토큰 반환
	}
	

	public Long extractStudentIdFromToken(String token) {
	
		// 1. 토큰 해독
		
		// 2. 정보 추출
		
		// 3. 학생 식별자 반환
	}
}

토큰 발급

1. 토큰 발급 로직: createToken()

@Component
public class JwtUtils {

    // SECRET 의 경우 스프링설정파일(application.properties) 에서 주입받아 활용가능합니다.
    private static final String SECRET = "my-cat-is-flying";  // 암구호(우리만 아는 암호라고 생각하면 된다.)
    ...(생략)...

    /**
     * jwt 토큰 발급
     *
     * 토큰 생성에 필요한 정보를 매개변수로 받아 JWT 토큰을 생성하고 반환합니다.
     * @param studentId 학생 식별자
     * @param role 학생 권한
     * @param dataYouWannaPut 토큰에 넣고 싶은 데이터
     * @return token
     * @throws UnsupportedEncodingException
     */
    public String createToken(Long studentId, String role, String dataYouWannaPut) throws UnsupportedEncodingException {
        // 1. 토큰 서명에 활용될 알고리즘 설정
        Algorithm algorithm = Algorithm.HMAC256(SECRET);  // Header

        // 2. 토큰 생성
        String token = JWT.create()
                .withIssuer("sparta.basic.com")
                .withSubject(studentId.toString())  // "Key": "value" -> "지정": "조작 가능"
                .withClaim("role", role)  // Key도 내 마음대로 조작 가능하다.
                .withClaim("customField1", dataYouWannaPut)
                .withClaim("customField2", "customFieldValue2")
                .withIssuedAt(new Date())
                .withExpiresAt(new Date(System.currentTimeMillis() + 3600 * 1000))
                .sign(algorithm); // 서명
        
        // 3. 토큰 반환
        return token;
    }
    
    ...(생략)...
}

2. 생성된 토큰 내용 예시(Json)

{
  "sub": "student1",
  "role": "admin",
  "customField1": "customFieldValue1",
  "customField2": "customFieldValue2",
  "iss": "example.com",
  "exp": 1735129767,
  "iat": 1735126167
}

메서드	예시	설명
withIssuer( )	www.example.com	발급자: JWT를 생성한 시스템 혹은 서버
withSubject( )	user1	사용자: JWT와 연관된 사용자 ID, 누구를 위해 생성되었는지 표시
withClaim( )	admin	커스텀 필드: 애플리케이션에서 필요한 추가 정보를 제공하기 위해 활용
withIssuedAt( )	175123152	발급 시간: 토큰의 생성 시간을 표시
withExpiresAt( )	1735119552	만료 시간: 토큰의 만료 시간을 표시

암호화가 아니기 때문에 노출되면 안되는 정보(Password)는 넣으면 안된다!!

토큰 해독

토큰을 활용하기 위해서는 먼저 서버로 토큰을 전송해야 한다.
보통 Request Headers에 토큰을 담아 전송한다.

1. 클라이언트에서 서버로 토큰을 보내는 다양한 방법

a. 쿼리 파라미터 활용 - Query Params

GET /api/resource?token=<JWT 토큰>

b. 요청 본문으로 전달 - Request Body

{
  "token": "<JWT 토큰>"
}

c. 기본 헤더 활용 - Request Header → 많이 사용하는 방식이다.

Authorization: <JWT 토큰>

d. OAuth 2.0 표준 → 많이 사용하는 방식이다.

Authorization: Bearer <JWT 토큰>

2. 토큰 해독 (기본 헤더를 활용)

@Component
public class JwtUtils {

    // SECRET 의 경우 스프링설정파일(application.properties) 에서 주입받아 활용가능합니다.
    private static final String SECRET = "my-cat-is-flying";
    private static final String BEARER_PREFIX = "Bearer";
    
    ...(생략)...
    

    /**
     * 토큰에서 학생 식별자를 추출 합니다.
     * @param token 일반 토큰
     * @return studentId(Long) 학생 식별자
     * @throws UnsupportedEncodingException
     */
    public Long extractStudentIdFromToken(String token) throws UnsupportedEncodingException {
        // 1. 토큰에 활용할 알고리즘 설정
        Algorithm algorithm = Algorithm.HMAC256(SECRET);

        // 2. 토큰 검증
        DecodedJWT decodedToken = JWT.require(algorithm)
                .withIssuer("sparta.basic.com")
                .build()
                .verify(token);

        // 3. 토큰에서 원하는 정보 추출
        System.out.println("subject: " + decodedToken.getSubject());
        System.out.println("role: " + decodedToken.getClaim("role").asString());
        System.out.println("customField1: " + decodedToken.getClaim("customField1").asString());
        System.out.println("customField2: " + decodedToken.getClaim("customField2").asString());
        System.out.println("issued At: " + decodedToken.getIssuedAt());
        System.out.println("expires At: " + decodedToken.getExpiresAt());

        // 4. 학생 식별자 반환
        String studentId = decodedToken.getSubject();
        return Long.parseLong(studentId);
    }
    
    ...(생략)...
}

3. 토큰 해독(OAuth 2.0 표준: Bearer)

@Component
public class JwtUtils {

    // SECRET 의 경우 스프링설정파일(application.properties) 에서 주입받아 활용가능합니다.
    private static final String SECRET = "my-cat-is-flying";
    private static final String BEARER_PREFIX = "Bearer";
    
    ...(생략)...


    /**
     * 베어러 토큰에서 학생 식별자를 추출 합니다.
     * @param bearerToken
     * @return studentId(Long) 학생 식별자
     * @throws UnsupportedEncodingException
     */
    public Long extractStudentIdFromBearerToken(String bearerToken) throws UnsupportedEncodingException {
        // 1. 토큰에 활용할 알고리즘
        Algorithm algorithm = Algorithm.HMAC256(SECRET);

        // 2. Bearer 토큰 추출
        String token = bearerToken.substring(BEARER_PREFIX.length()).trim();

        // 3. 토큰 검증
        DecodedJWT decodedToken = JWT.require(algorithm)
                .withIssuer("sparta.basic.com")
                .build()
                .verify(token);

        // 4. 토큰에서 원하는 정보 추출
        System.out.println("subject: " + decodedToken.getSubject());
        System.out.println("role: " + decodedToken.getClaim("role").asString());
        System.out.println("customField1: " + decodedToken.getClaim("customField1").asString());
        System.out.println("customField2: " + decodedToken.getClaim("customField2").asString());
        System.out.println("issued At: " + decodedToken.getIssuedAt());
        System.out.println("expires At: " + decodedToken.getExpiresAt());

        // 5. 학생 식별자 반환
        String studentId = decodedToken.getSubject();
        return Long.parseLong(studentId);
    }
}

필터는 왜 사용하는 것일까?!

중복 코드를 줄이기 위해서 필터를 사용한다.
응답 속도도 훨씬 더 빠르다.
하지만 필터를 쓰지 않는다고 해서 틀리게 구현하는 것은 아니다.

전체 코드

JwtUtils.java

@Component
public class JwtUtils {

    // SECRET 의 경우 스프링설정파일(application.properties) 에서 주입받아 활용가능합니다.
    private static final String SECRET = "my-cat-is-flying";  // 우리만 알고 있는 암구호
    private static final String BEARER_PREFIX = "Bearer";

    /**
     * jwt 토큰 발급
     *
     * 토큰 생성에 필요한 정보를 매개변수로 받아 JWT 토큰을 생성하고 반환합니다.
     * @param studentId 학생 식별자
     * @param role 학생 권한
     * @param dataYouWannaPut 토큰에 넣고 싶은 데이터
     * @return token
     * @throws UnsupportedEncodingException
     */
    public String createToken(Long studentId, String role, String dataYouWannaPut) throws UnsupportedEncodingException {
        // 1. 토큰 서명에 활용될 알고리즘 설정
        Algorithm algorithm = Algorithm.HMAC256(SECRET);  // Header

        // 2. 토큰 생성
        String token = JWT.create()
                .withIssuer("sparta.basic.com")
                .withSubject(studentId.toString())
                .withClaim("role", role)
                .withClaim("customField1", dataYouWannaPut)
                .withClaim("customField2", "customFieldValue2")
                .withIssuedAt(new Date())
                .withExpiresAt(new Date(System.currentTimeMillis() + 3600 * 1000))
                .sign(algorithm); // 서명
        return token;
    }

    /**
     * 토큰에서 학생 식별자를 추출 합니다.
     * @param token 일반 토큰
     * @return studentId(Long) 학생 식별자
     * @throws UnsupportedEncodingException
     */
    public Long extractStudentIdFromToken(String token) throws UnsupportedEncodingException {
        // 1. 토큰에 활용할 알고리즘 설정
        Algorithm algorithm = Algorithm.HMAC256(SECRET);

        // 2. 토큰 검증
        DecodedJWT decodedToken = JWT.require(algorithm)
                .withIssuer("sparta.basic.com")
                .build()
                .verify(token);

        // 3. 토큰에서 원하는 정보 추출
        System.out.println("subject: " + decodedToken.getSubject());
        System.out.println("role: " + decodedToken.getClaim("role").asString());
        System.out.println("customField1: " + decodedToken.getClaim("customField1").asString());
        System.out.println("customField2: " + decodedToken.getClaim("customField2").asString());
        System.out.println("issued At: " + decodedToken.getIssuedAt());
        System.out.println("expires At: " + decodedToken.getExpiresAt());

        // 4. 학생 식별자 반환
        String studentId = decodedToken.getSubject();
        return Long.parseLong(studentId);
    }

    /**
     * 베어러 토큰에서 학생 식별자를 추출 합니다.
     * @param bearerToken
     * @return studentId(Long) 학생 식별자
     * @throws UnsupportedEncodingException
     */
    public Long extractStudentIdFromBearerToken(String bearerToken) throws UnsupportedEncodingException {
        // 1. 토큰에 활용할 알고리즘
        Algorithm algorithm = Algorithm.HMAC256(SECRET);

        // 2. Bearer 토큰 추출
        String token = bearerToken.substring(BEARER_PREFIX.length()).trim();

        // 3. 토큰 검증
        DecodedJWT decodedToken = JWT.require(algorithm)
                .withIssuer("sparta.basic.com")
                .build()
                .verify(token);

        // 4. 토큰에서 원하는 정보 추출
        System.out.println("subject: " + decodedToken.getSubject());
        System.out.println("role: " + decodedToken.getClaim("role").asString());
        System.out.println("customField1: " + decodedToken.getClaim("customField1").asString());
        System.out.println("customField2: " + decodedToken.getClaim("customField2").asString());
        System.out.println("issued At: " + decodedToken.getIssuedAt());
        System.out.println("expires At: " + decodedToken.getExpiresAt());

        // 5. 학생 식별자 반환
        String studentId = decodedToken.getSubject();
        return Long.parseLong(studentId);
    }
}

AuthController.java

@Slf4j
@RestController
@RequestMapping("/auth")
@RequiredArgsConstructor
public class AuthController {

    private final JwtUtils jwtUtils;

    /**
     * 로그인 API
     * 학생의 email, password 를 받아 로그인 시도를합니다.
     * 로그인 성공시 JWT 토큰을 생성해 클라이언트로 반환합니다.
     * @return token
     * @throws UnsupportedEncodingException
     */
    @GetMapping("/login")
    public String loginAPI() throws UnsupportedEncodingException {
        // 1. 로그인을 성공했다고 가정합니다.
        // 로그인 로직 작

        // 2. 토큰에 담을 정보 준비
        Long studentId = 1L;     // 학생 식별자
        String role = "student"; //
        String dataThatYouWannaPut = "내 마음대로 데이터";

        // 3. 토큰 발급
        String token = jwtUtils.createToken(studentId, role, dataThatYouWannaPut);
        return token;
    }

    /**
     * 인증이 필요한 API
     * 이 API는 로그인한 사용자만 접근할 수 있는  예제입니다.
     * Authorization 헤더에서 JWT를 추출하여 사용자를 인증합니다.
     * 주석을 활용해서 일반 토큰 Bearer 토큰을 Authorization 헤더에서 추출해서 활용합니다.
     *
     * @param request Authorization 헤더를 포함한 요청 정보를 전달 받습니다.
     * @throws UnsupportedEncodingException
     */
    @GetMapping("/api")
    public void authRequiredAPI(HttpServletRequest request) throws UnsupportedEncodingException {
        
        // 1. requestHeader 에서 토큰 추출
        String token = request.getHeader("Authorization");

        // 2. 토큰에서 정보 추출
        // 2-1. 일반 토큰 사용할 경우
        Long studentId = jwtUtils.extractStudentIdFromToken(token);

        // 2-2.베어러 토큰 사용할 경우
        // Long studentId = jwtUtils.extractStudentIdFromBearerToken(token);

        // 3. 학생 아이디 활용
        log.info("학생 아이디는: {}", studentId);
    }
}

'공부..스터디... > 수준별 학습반' 카테고리의 다른 글

수준별 학습반_베이직반 5회차 세션 (1)	2024.12.22
수준별 학습반_베이직반 4회차 세션 (0)	2024.12.21
수준별 학습반_베이직반 3회차 세션 (0)	2024.12.16
수준별 학습반_베이직반 2회차 세션 (0)	2024.12.11
수준별 학습반_베이직반 1회차 세션 (0)	2024.12.07

당근당근🥕

수준별 학습반_베이직반 7회차 세션

베이직반

인증인가 활용(토큰인증방식: JWT)

JWT

흐름 & 구성도

1. 기본 스프링 요청 응답 처리 흐름도

2. 인증인가 흐름도

3. 실습: 토큰에서 활용할 객체 (JwtUtils)

토큰 발급

1. 토큰 발급 로직: createToken()

2. 생성된 토큰 내용 예시(Json)

토큰 해독

1. 클라이언트에서 서버로 토큰을 보내는 다양한 방법

2. 토큰 해독 (기본 헤더를 활용)

3. 토큰 해독(OAuth 2.0 표준: Bearer)

필터는 왜 사용하는 것일까?!

전체 코드

JwtUtils.java

AuthController.java

'공부..스터디... > 수준별 학습반' 카테고리의 다른 글

티스토리툴바

수준별 학습반_베이직반 7회차 세션

베이직반

인증인가 활용(토큰인증방식: JWT)

JWT

흐름 & 구성도

1. 기본 스프링 요청 응답 처리 흐름도

2. 인증인가 흐름도

3. 실습: 토큰에서 활용할 객체 (JwtUtils)

토큰 발급

1. 토큰 발급 로직: createToken()

2. 생성된 토큰 내용 예시(Json)

토큰 해독

1. 클라이언트에서 서버로 토큰을 보내는 다양한 방법

2. 토큰 해독 (기본 헤더를 활용)

3. 토큰 해독(OAuth 2.0 표준: Bearer)

필터는 왜 사용하는 것일까?!

전체 코드

JwtUtils.java

AuthController.java

'공부..스터디... > 수준별 학습반' 카테고리의 다른 글

관련글

티스토리툴바