[Spring] JWT로 토큰 기반 로그인 기능 만들기

Notice

Recent Posts

Recent Comments

Link

« 2025/01 »
일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Tags more

Archives

Today

Total

관리 메뉴

Bibi's DevLog 🤓🍎

[Spring] JWT로 토큰 기반 로그인 기능 만들기 본문

🖥 BE 백엔드/Spring 스프링

[Spring] JWT로 토큰 기반 로그인 기능 만들기

비비 bibi 2021. 6. 4. 23:37

[airbnb프로젝트] JWT 코드 설명

출처 : 전체 코드 출처는 https://ocblog.tistory.com/56, 설명은 yeon이 해 주셨습니다🙇‍♂️

JWT 토큰 왜 쓰는가?

로그인 시 서버가 토큰을 만들어 클라이언트에 발급해 준다.

이후 로그인이 필요한 URL에서, 헤더에 토큰이 들어있는지 확인한다.

토큰이 있으면 로그인이 필요한 기능들을 이용할 수 있다.
토큰이 없으면 로그인되지 않은 상태로 간주하고 로그인이 필요한 기능들을 이용할 수 없다.

인터셉터 interceptor

인터셉터 : 컨트롤러에 오기 전에 존재하는 단계.

프론트가 HTTP Header에 우리가 발급한 토큰을 담아서 보내주면 ("Authorization" : Bearer 토큰) 우리가 발급한 토큰이 맞는지 확인한다.

토큰 확인 작업이 반복적이기 때문에, 컨트롤러가 아닌 인터셉터를 따로 만들어 거기에서 처리하게 하는 것이다.

(아래의 BearerInterceptor 코드 설명 참조)

`AppConfig`

@Configuration
public class AppConfig implements WebMvcConfigurer {

    private static final Logger logger = LoggerFactory.getLogger(AppConfig.class);

    private final BearerAuthInterceptor bearerAuthInterceptor;

    public AppConfig(BearerAuthInterceptor bearerAuthInterceptor) { // 인터셉터 구현체를 만들어 등록함
        this.bearerAuthInterceptor = bearerAuthInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        logger.info(">>> 인터셉터 등록");
        registry.addInterceptor(bearerAuthInterceptor).addPathPatterns("/api/booking")
                .addPathPatterns("/api/booking/{bookingId}")
                .addPathPatterns("/api/rooms/{userId}/wish/{roomId}");
    }
}

AppConfig는 WebMvcConfigurer를 구현해야 한다.

addInterceptors()
- 인터셉터를 등록할 때, 인터셉터를 거칠 url을 등록한다.
- = 즉 로그인상태인지 확인이 되어야만 제공되는 기능과 연결된 url들을 등록하면 된다.

`BearerAuthInterceptor`

package com.codesquad.airbnb.jwt;

import com.codesquad.airbnb.exception.TokenEmptyException;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class BearerAuthInterceptor implements HandlerInterceptor {

    private static final Logger logger = LoggerFactory.getLogger(BearerAuthInterceptor.class);

    private AuthorizationExtractor authorizationExtractor;
    private JwtTokenProvider jwtTokenProvider;

    public BearerAuthInterceptor(AuthorizationExtractor authorizationExtractor, JwtTokenProvider jwtTokenProvider) {
        this.authorizationExtractor = authorizationExtractor;
        this.jwtTokenProvider = jwtTokenProvider;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        logger.info(">>> interceptor.preHandle 호출");
        String token = authorizationExtractor.extract(request, "Bearer");
        if (token.isEmpty()) {
            throw new TokenEmptyException();
        }

        if (!jwtTokenProvider.validateToken(token)) {
            throw new IllegalArgumentException("유효하지 않은 토큰");
        }

        Long id = jwtTokenProvider.getSubject(token);
        request.setAttribute("id", id);
        return true;
    }
}

HandlerInterceptor를 구현한 BearerAuthInterceptor인터셉터를, @Configuration이 붙은 AppConfig에서 인터셉터로 등록한다. (addInterceptors())

preHandle() : HandlerInterceptor의 추상메서드를 오버라이딩한 것.
- 이 결과값이 true여야 다음으로 넘어간다.
- true가 반환이 되어야만 controller에 도달한다.
- request-인터셉터 - 헤더에 있는 토큰을 추출한다. (authorizationExtractor.extract())
- 토큰이 비어있다 = 로그인이 안 되어있다 -> 예외 발생
- jwtTokenProvider.validateToken() : 유효한 토큰인지 검증. 유효하지 않으면 예외 발생
- 확인이 끝나면 (우리는 userId를 이용해 토큰을 만드는데) 토큰을 디코딩해, 토큰에 들어있는 userId를 확인한다(jwtTokenProvider.getSubject()).

`AuthorizationExtractor`

package com.codesquad.airbnb.jwt;

import org.apache.logging.log4j.util.Strings;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import java.util.Enumeration;

@Component
public class AuthorizationExtractor {

    public static final String AUTHORIZATION = "Authorization";
    public static final String ACCESS_TOKEN_TYPE = AuthorizationExtractor.class.getSimpleName();

    public String extract(HttpServletRequest request, String type) {
        Enumeration<String> headers = request.getHeaders(AUTHORIZATION);
        while (headers.hasMoreElements()) {
            String value = headers.nextElement();
            if (value.toLowerCase().startsWith(type.toLowerCase())) {
                return value.substring(type.length()).trim();
            }
        }
        return Strings.EMPTY;
    }
}

HTTP header에 들어 있는 토큰을 추츨하는 역할의 메서드이다.

`JwtTokenProvider`

package com.codesquad.airbnb.jwt;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.util.Base64;
import java.util.Date;

@Component
public class JwtTokenProvider {

    private final Logger logger = LoggerFactory.getLogger(JwtTokenProvider.class);

    private String secretKey;
    private long validityInMilliseconds;

    public JwtTokenProvider(@Value("&{security.jwt.token.secret-key}") String secretKey, @Value("${security.jwt.token.expire-length}") long validityInMilliseconds) {
        this.secretKey = Base64.getEncoder().encodeToString(secretKey.getBytes());
        this.validityInMilliseconds = validityInMilliseconds;
    }

    // 토큰 생성
    public String createToken(Long id) {
        Claims claims = Jwts.claims().setSubject(String.valueOf(id));

        Date now = new Date();
        Date validity = new Date(now.getTime() + validityInMilliseconds);
        logger.info("now: {}", now);
        logger.info("validity: {}", validity);

        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(now)
                .setExpiration(validity)
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }

    // 토큰에서 값 추출
    public Long getSubject(String token) {
        return Long.valueOf(Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(token)
                .getBody()
                .getSubject());
    }

    // 유효한 토큰인지 확인
    public boolean validateToken(String token) {
        Jws<Claims> claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token);
        return !claims.getBody().getExpiration().before(new Date());
    }
}

JwtTokenProvider : 토큰을 암호화, 복호화, 검증 등의 작업을 하는 하는 클래스
getSubject() : 토큰을 값을 추출해 받아오는 메서드
토큰 생성, 추출, 유효성 확인 메서드들이 들어있다.
토큰 생성에 필요한 시크릿 키와 유효기간 등을 application.properties의 설정에서 가져와 토큰을 만든다.
생성 : Jwts라이브러리를 이용해 시크릿 키로 토큰 암호화와 유효기간을 설정한다.
- 토큰의 sub 등을 claim으로 설정한다.

`TokenRespnose`

package com.codesquad.airbnb.jwt;

public class TokenResponse {

    private String accessToken;
    private String tokenType;

    public TokenResponse(String accessToken, String tokenType) {
        this.accessToken = accessToken;
        this.tokenType = tokenType;
    }

    public String getAccessToken() {
        return accessToken;
    }

    public String getTokenType() {
        return tokenType;
    }
}

TokenResponse : JWT토큰 값을 담아 보내기 위한 Response DTO 클래스이다.

저작자표시 비영리 변경금지

'🖥 BE 백엔드 > Spring 스프링' 카테고리의 다른 글

[Spring] application.properties 설정 분리하기 (0)	2021.06.11
[Spring] 구글 OAuth 구현하기 (+JWT) (0)	2021.06.10
[Spring boot] 스크립트와 S3 bucket을 이용한 스프링 앱 배포 자동화(+ 슬랙 봇, crontab 활용) (0)	2021.06.02
[Spring] 같은 URL을 사용하면서도 다른 한 URL에 쿼리스트링을 받고 싶을 때 맵핑하는 법 (0)	2021.05.28
[Java Spring] DB에 날짜 저장하기, JSON으로 날짜 받기 (0)	2021.05.28

'🖥 BE 백엔드/Spring 스프링' Related Articles

Bibi's DevLog 🤓🍎

[Spring] JWT로 토큰 기반 로그인 기능 만들기 본문

[Spring] JWT로 토큰 기반 로그인 기능 만들기

[airbnb프로젝트] JWT 코드 설명

JWT 토큰 왜 쓰는가?

인터셉터 interceptor

AppConfig

BearerAuthInterceptor

AuthorizationExtractor

JwtTokenProvider

TokenRespnose

'🖥 BE 백엔드 > Spring 스프링' 카테고리의 다른 글

티스토리툴바

`AppConfig`

`BearerAuthInterceptor`

`AuthorizationExtractor`

`JwtTokenProvider`

`TokenRespnose`