[Spring Security] 토큰 발행 후 API에 토큰 인증 절차 추가하기

💡 Introduction
이번 포스트에서는 스프링 부트 핵심 가이드 책에서 나온 Spring Security 를 사용해 토큰 인증을 구현하는 과정을 내가 구현한 순서에 따라 설명해본다.

🧾 단계별로 클래스 생성하기

먼저, 컨트롤러를 생성한다.

컨트롤러는 아래와 같이 토큰을 생성해서 토큰을 반환한다.

JwtTokenProvider 의 스태틱 메서드인 createToken() 을 사용할 것이다.

빨간색으로 나온 JwtTokenProvider 를 생성해주자. 그리고 내부에 createToken() 메서드 구현 전에, 필요한 의존성이 있다:

구글에서 jwt maven repository 등의 키워드로 검색했다.

build.gradle 에 위의 라이브러리에 대한 의존성을 추가해주었다.

이제 준비가 되었으니, JwtTokenProvider 를 구현해본다.

우선 클래스를 생성했다. @Component 를 붙여야 한다.

클래스 생성 후, JSON Web Token 라이브러리에서 제공하는 다양한 기능을 사용하여 토큰을 발급하는 기능을 createToken() 메서드에서 구현했다:

차례대로 토큰이 담을 정보를 설정하고, 발급된 날짜, 만료기한, 서명에 사용되는 알고리즘과 키를 설정한다.

이 정도 시점에서 우선 어플리케이션을 실행해 보았다. Swagger 를 사용하는 것이 수동 테스트 하기에 편리할 것 같아 추가해주기로 했다. springfox-boot-starter 와 springfox-swagger-ui 를 의존성에 추가해주었다. 다음 두 줄이다:

implementation 'io.springfox:springfox-swagger-ui:3.0.0'
implementation 'io.springfox:springfox-boot-starter:3.0.0'

그리고 configuration 패키지에 SwaggerConfig 클래스를 추가했다:

Swagger 에 대한 여러 세팅 값들을 설정해주었다.

Swagger 를 실행하기 전, Spring Security 에서 인증과 인가 기능을 구현할 때 사용하는 보안 필터를 먼저 씌우기 위해 다음과 같이 SecurityConfig 클래스를 생성해주었다:

아직 비었지만 @EnableWebSecurity 어노테이션으로 보안 필터가 추가됨을 알리고 있다.

이후 localhost:8080/swagger-ui/ 로 접속했을 때의 모습이다:

Swagger 에 접근하기 위해서는 인증이 필요하게 되었다.

이렇게 보안필터가 디폴트로 인증을 수행할 때 사용하는 필터인 UsernamePasswordAuthenticationFilter 는 인증이 되지 않은 상태에서는 로그인 폼을 화면에 띄운다. 이제, 보안 필터의 몇 가지 속성들을 설정해서 스프링 시큐리티의 동작을 재구성해보자.

 

🔒 보안 필터 구현하기

 

우선, 보안 필터의 구현은 SecurityConfig 클래스의 securityFitlerChain() 메서드를 통해 이뤄진다:

보안 필터 체인을 구현함으로서 속성들을 필요에 맞게 설정했다.

요청과 DispatcherServlet 사이의 필터가 어떻게 동작하는지를 설정해준 것이다. 이제, 다시 Swagger 를 실행해보자. 아마 아무것도 나오지 않을 것이다. addFilterBefore() 메서드가 설정해준 속성이 Jwt 토큰 필터를 먼저 실행한다는 의미를 갖고 있고, 아직 Jwt 토큰 필터를 구현하지 않았기 때문에 아무것도 보이지 않는 것이다. 이제, 토큰 필터를 구현해볼 차례이다.

 

🔑 토큰 필터 구현하기

토큰 필터의 역할은 토큰이 존재하는지 여부와 유효한지의 여부를 검사한 후, 검사에서 통과하면 SecurityContextHolder 에 인증된 토큰을 저장하는 것이다. 저장된 이후에는 인증된 토큰을 가진 사용자라는 것이 확인되기 때문에 인증이 완료되는 것이다.

 

먼저, 토큰 필터를 구현할 JwtAuthenticationFilter 클래스를 생성해준다:

OncePerRequestFilter 를 상속받는다. doFilterInternal() 메서드를 오버라이딩하여 구현한다.

오버라이딩된 doFilterInternal() 가 바로 필터 내에서 토큰이 존재하는지, 한다면 유효한지 확인하고 사용자를 인증하는 기능을 구현하는 메서드이다. 기능 하나씩 구현해보겠다. 근데 기능을 모두 메서드 내부에서 구현해도 되지만 외부 메서드를 호출해서 코드 가독성을 높일 수도 있다. 책을 참고한 나의 프로젝트에서는 몇몇 메서드들은 JwtTokenProvider에서 구현하고 이를 토큰 필터에서 호출하는 방식을 사용했다.

 

1. 토큰의 존재 여부를 확인하는 기능

먼저 메서드 상위에 다음과 같이 POST 요청으로부터 헤더를 가져와서 토큰을 추출하는 코드를 추가했다. 헤더가 존재하지 않거나 내용이 올바른 형식이 아닐 시 서블릿을 실행하는 메서드인 filterChain.doFilter() 를 호출한다.

요청의 헤더가 잘못되었거나 토큰 추출이 실패하면 바로 서블릿을 실행한다.

2. 토큰의 만료 여부를 확인하는 기능

먼저 토큰이 주어졌을 때 토큰의 만료 날짜가 언제인지 알기 위해서는 토큰으로부터 Claim 을 추출할 수 있어야 한다. 이 기능을 JwtTokenProvider 에서 구현했다:

비밀 키를 가지고 주어진 토큰으로부터 Claim 즉 속성값들을 추출한다.

그리고 이 추출된 속성값들에서 getExpiration() 을 사용해 만료 날짜를 가져온 뒤 현재의 날짜와 비교한다. 이미 만료 날짜가 현재 날짜보다 이전에 있으면 이미 만료된 것이다. 다음과 같이 boolean 타입의 메서드로 구현했다:

만료 날짜가 오늘보다 이전이면 isExpired() 는 true 이다.

그리고 이 메서드를 토큰 필터에서 호출해서 사용했다. 다음 한 줄만 추가해주면 된다:

if (JwtTokenProvider.isExpired(token)) filterChain.doFilter(request, response);

3. 사용자를 인증하는 기능

사용자 인증의 단계는 다음과 같다:

• 사용자 아이디를 토큰으로부터 알아낸다.
• 사용자의 권한을 토큰으로부터 알아낸다.
• 아이디와 권한을 가지고 인증된 토큰이라는 사실을 나타내는 클래스 UsernamePasswordAuthenticationToken 의 객체를 생성한다.
• SecurityContextHolder 에 인증된 토큰을 저장한다.

하나씩 진행해보자. 우선 사용자 아이디와 권한은 토큰의 클레임으로부터 알아낼 수 있다. JwtTokenProvider 에 메서드들을 추가했다:

각각 토큰의 클레임을 추출해서 사용자 아이디와 권한을 알아낸다.

다음으로 인증된 토큰을 나타내는 객체를 생성하여 반환하는 메서드를 JwtTokenProvider 에 추가했다:

사용자 아이디와 권한을 매개변수로 받아 토큰을 생성하는 메서드이다.

 

만든 메서드들을 활용해서 토큰 필터에서 SecurityContextHolder 에 인증된 토큰을 저장한다:

🚩 몇 가지 변경사항들

이후, 생각해보니 컨트롤러가 아닌 서비스에서 토큰 생성을 관리하는 것이 낫겠다고 판단되었다. 그래서 UserService 를 추가하고 다음과 같이 컨트롤러에서 서비스를 DI 받아서 서비스에서 구현된 메서드를 통해 토큰을 생성하도록 변경했다:

UserService 를 생성해 정해진 키를 사용해 토큰을 생성하는 authenticate() 메서드를 구현했다.

UserService 를 컨트롤러에서 DI 받아서 토큰을 생성한다.

 

또한, 토큰을 생성하는 JwtTokenProvider 에서의 비밀 키와 토큰 필터에서 인증을 위해 사용하는 비밀 키가 일치하도록 만들기 위해 토큰 생성 시 서비스에서 환경변수로부터 비밀 키를 가져와 createToken 에 매개 변수로 넣어주도록 변경했다. createToken 은 이전에 매개변수로 사용하던 사용자 아이디, 사용자 권한 외에도 비밀 키를 매개 변수로 갖게 되었다. 그리고 토큰 필터에서 가지고 있는 비밀 키를 가지고 JwtTokenProvider 에 있는 생성이 아닌 인증을 위한 메서드들의 매개 변수로 넣어주어서, 인증 시에 일괄적으로 하나의 비밀 키로 올바른 방식으로 인증을 할 수 있도록 변경해주었다. 이제 토큰을 생성할 때와 인증할 때 같은 비밀 키를 사용한다.

필터 체인 내에서 JwtTokenProvider 의 메서드들을 호출할 때 매개변수로 secretKey 를 넣어준다. 이 secretKey 는 보안 필터 설정에서 마지막 부분 addFilterBefore 에서 토큰 필터를 생성할 때 넣어준 secretKey 와 동일한 것이다.

 

변경된 JwtTokenProvider 는 아래와 같다:

모든 메서드에 secretKey 매개변수가 추가되었음을 볼 수 있다.

isExpired 에서도 extractClaims 를 사용하기 때문에 secretKey 가 포함되었다.

이제 다시 Swagger 를 실행해보자. 이전과 다르게 addFilterBefore 이 있어도 화면이 나오는 것을 볼 수 있을 것이다:

정상적으로 swagger 가 나온다. 토큰 필터가 구현되었기 때문이다.

🚀 특정 API에서 인증 요청하기

이제 특정 POST API 요청에서 이전에 서버에서 발행된 토큰을 가지고 인증받지 않으면 요청할 수 없도록 만들어보자. 이 프로젝트에서는 게시판에 로그인된 사용자만 댓글을 달 수 있는 상황을 가정한다. 우선 SecurityConfig 클래스에서 보안 필터의 속성값 하나를 변경하여 특정 URL 로 오는 POST 요청을 인증을 거쳐야만 가능하도록 만든다:

 .antMatchers(HttpMethod.POST, "/api/v1/comments/new").authenticated()

이후 컨트롤러를 하나 만들고 위의 URL 로 임의의 POST 요청을 보내는 상황을 구현한다:

댓글을 다는 상황을 가정해서 컨트롤러를 만들었다. 매개변수는 Authentication 객체이다.

이제 다시 Swagger 를 열고, 댓글을 아무나 달 수 있는지, 언제 인증이 되는지를 확인해보려했지만, Swagger 에서는 헤더 설정이 까다로워서 Talend API tester 로 진행했다:

우선 로그인을 진행했다. 토큰을 발행하기 위해서였다.

이후 Authorization 헤더가 존재하지 않을 때 댓글을 달 수 있는지 확인해 보니, 불가능했다. 403 에러가 뜬 모습이다.

Authorization 을 헤더에 추가하고, Bearer 로 시작하는 토큰 값을 넘겨주니까 정확하게 로그인 했던 아이디와 함께 댓글이 달렸다는 문구가 나온다.