[서버개발캠프] 인증 서버 - Spring Security + JWT

서버개발캠프의 두 번째 개인 과제로 인증 서버 구축이 주어졌다. 인증 서버를 구축하며 사용했던 기술과 이슈들을 정리해보고자 한다. 스프링에서는 인증 및 권한 부여를 통해 리소스의 사용을 쉽게 컨트롤 할 수 있도록 Spring Security를 제공한다. 시큐리티를 적용하며 백기선님의 유튜브 강좌와 happydaddy님의 포스팅이 큰 도움이 되었다.

스프링 시큐리티는 스프링의 Dispatcher Servlet 앞단에 필터를 등록시켜 클라이언트의 요청을 가로챈다. 이 후 클라이언트의 요청에 대해 권한이 없을 경우 로그인 화면으로 리다이렉트 시킨다. 나는 API 서버를 구축하고, 토큰 기반으로 통신 할 계획이었기 때문에 이에 맞는 시큐리티 설정과 더불어 JWT를 위한 필터가 필요했다.

Spring Security

시큐리티 설정은 아래와 같다. 스프링 시큐리티는 다양한 필터를 통해 인증을 진행하는데, 그 중 UsernamePasswordAuthenticationFilter가 인증되지 않은 사용자를 로그인 화면으로 리다이렉트 시키는 역할을 하는 필터이다. 따라서 해당 필터의 앞에 JWT를 확인하기 위한 필터를 등록해야했다.

@RequiredArgsConstructor
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private final JwtUtil jwtUtil;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .httpBasic().disable()
                .csrf().disable()
                .cors()
                .and()
                .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                    .antMatchers(
                            "/users/signin",
                            "/users/signup/**",
                            "/users/password/**",
                            "/exception/**"
                    ).permitAll()
                    .antMatchers("/admin/**").hasAuthority("ADMIN")
                    .anyRequest().authenticated()
                .and()
                    .exceptionHandling()
                    .accessDeniedHandler(new CustomAccessDeniedHandler())
                .and()
                    .exceptionHandling()
                    .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
                .and()
                    .addFilterBefore(
                            new JwtAuthenticationFilter(jwtUtil),
                            UsernamePasswordAuthenticationFilter.class
                    );
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

또한 우리가 등록한 JWT 필터에서 예외가 발생한 경우, 필터의 순서상 Spring의 DispatcherServlet까지 예외가 도달하지 않기 때문에 이를 처리하기위한 Handler가 필요했다.
헤더에 토큰이 담겨있지 않거나, 토큰이 만료 또는 조작된 경우 토큰을 검증하는 부분에서 프로세스가 끝나게 되므로, 이를 잡아내기 위해서는 SpringSecurity에서 제공하는 AuthenticationEntryPoint를 상속받아 재정의 해야했다. 예외가 발생한 경우 /exception/entrypoint로 포워딩하도록 처리했다.

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) 
    				throws IOException, ServletException {
                    
        response.sendRedirect("/exception/entrypoint");
        
    }
    
}

반면 헤더에 올바른 토큰이 담겨있으나, 요청에 대한 권한이 없는 경우 SpringSecurity에서 제공하는 AccessDeniedHandler를 상속받은 후, /exception/accessdenied로 포워딩하도록 처리했다.

@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, 
    			AccessDeniedException accessDeniedException) throws IOException, ServletException {
        
        response.sendRedirect("/exception/accessdenied");
        
    }
}

JWT Authentication Filter

JWT 인증 필터는 OncePerRequestFilter를 상속받아 작성했다. 해당 필터에서 토큰의 유효성 검사가 진행된다.

public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private JwtUtil jwtUtil;

    public JwtAuthenticationFilter(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) 
    					throws ServletException, IOException {
        
        String token = jwtUtil.getToken(request);

        if(token != null && jwtUtil.isValidToken(token)) {
            Authentication authentication = jwtUtil.getAuthentication(token);
            SecurityContext context = SecurityContextHolder.getContext();
            context.setAuthentication(authentication);
        }

        filterChain.doFilter(request, response);
    }
}

토큰이 유효한 토큰으로 판명나면, 토큰에서 사용자의 email과 role을 꺼내와서 Authentication을 만든 후, SecurityContext에 해당 Authentication을 전달한다. 이 Authentication객체를 통해 사용자가 토큰을 통해 접근할 수 있는 리소스가 정해진다.

@Component
public class JwtUtil {

    public Authentication getAuthentication(String token) {
        Claims claims = getClaims(token);
        String email = claims.getSubject();
        int role = (int) claims.get("role");

        return new UsernamePasswordAuthenticationToken(
            email, 
            null, 
            Collections.singletonList(new SimpleGrantedAuthority(this.roles.get(role)))
        );
    }

    ...

}

'스마일게이트 서버개발캠프 4기' 카테고리의 다른 글

[서버개발캠프] 인증 서버 - 로그인 성능 테스트 : nGrinder (0)	2020.02.15
[서버개발캠프] 인증 서버 - AWS EC2 & RDS 구축 및 배포 (0)	2020.02.10
[서버개발캠프] 인증 서버 - 로그인 : JWT + Redis (1)	2020.02.10
[서버개발캠프] 인증 서버 - 이메일 인증 회원가입 (0)	2020.02.08
🚀 서버개발캠프 4기 (0)	2020.01.12

💻 yunbchae

[서버개발캠프] 인증 서버 - Spring Security + JWT

Spring Security

JWT Authentication Filter

'스마일게이트 서버개발캠프 4기' 카테고리의 다른 글

티스토리툴바