프론트에서 로그인 작업을 빨리 끝내주셔서 금방 회원가입/로그인을 테스트해볼 수 있었다.
다행히 큰 이슈 없이 잘 작동하는 것을 확인할 수 있었다.
헤더에 보낸 토큰이 프론트에서 안보이는 문제가 있었는데, cors를 수정해서 해결했다.
특히 exposeHeaders("Authorization")은 반드시 포함해야한다.
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("")
.allowedMethods("GET", "POST", "PUT", "DELETE", "PATCH")
.allowedHeaders("*")
.exposedHeaders("Authorization")
.allowCredentials(true);
}
}
JWT
#dependencies 추가
implementation 'io.jsonwebtoken:jjwt-api:0.11.2'
implementation 'commons-codec:commons-codec:1.5'
implementation 'io.jsonwebtoken:jjwt-impl:0.11.2'
implementation 'io.jsonwebtoken:jjwt-jackson:0.11.2'
implementation 'com.auth0:java-jwt:3.13.0'#WebSecurityConfig
JWT 방식을 사용하기 위해서는 security에 filter와 provider, handler 등이 필요하다.
webSecurityConfig에서 커스텀한 객체들을 빈으로 등록하고 설정을 해준다.
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf()
.disable()
// 서버에서 인증은 JWT로 인증하기 때문에 Session의 생성을 막습니다.
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.addFilterBefore(getAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
.addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class);
http.authorizeRequests()
.requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
.anyRequest().permitAll()
.and()
.cors()
.and()
.formLogin().disable();
// [로그아웃 기능]
http.logout()
// 로그아웃 요청 처리 URL
.logoutUrl("/user/logout")
.logoutSuccessHandler(new CustomLogoutSuccessHandler())
.permitAll();
}
public CustomUsernamePasswordAuthenticationFilter getAuthenticationFilter()
throws Exception {
CustomUsernamePasswordAuthenticationFilter authenticationFilter =
new CustomUsernamePasswordAuthenticationFilter(authenticationManager());
authenticationFilter.setFilterProcessesUrl("/user/login");
authenticationFilter.setAuthenticationSuccessHandler(loginSuccessHandler());
authenticationFilter.setAuthenticationFailureHandler(loginFailureHandler());
authenticationFilter.afterPropertiesSet();
return authenticationFilter;
}
...
}인증 허용 여부에 대해서는 기본 설정에서 permitAll로 설정하고 JwtAuthFilter에서 구체적으로 지정한다.
이 필터는 .addFilterBefore을 사용하여 UsernamePasswordAuthenticationFilter 전에 동작한다.
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
...
// JWT 인증 여부 필터
private JwtAuthFilter jwtFilter() throws Exception {
List<String> skipPathList = new ArrayList<>();
// h2-console 허용
skipPathList.add("GET,/h2-console/**");
skipPathList.add("POST,/h2-console/**");
// 회원 관리 API 허용
skipPathList.add("GET,/user/**");
skipPathList.add("POST,/user/**");
skipPathList.add("GET,/boards/**");
FilterSkipMatcher matcher = new FilterSkipMatcher(
skipPathList,
"/**"
);
JwtAuthFilter filter = new JwtAuthFilter(
matcher,
headerTokenExtractor
);
filter.setAuthenticationManager(super.authenticationManagerBean());
return filter;
}
}
public class FilterSkipMatcher implements RequestMatcher {
private final OrRequestMatcher orRequestMatcher;
private final RequestMatcher processingMatcher;
public FilterSkipMatcher(
List<String> pathToSkip,
String processingPath
) {
this.orRequestMatcher = new OrRequestMatcher(pathToSkip
.stream()
.map(this :: httpPath)
.collect(Collectors.toList()));
this.processingMatcher = new AntPathRequestMatcher(processingPath);
}
private AntPathRequestMatcher httpPath(String skipPath) {
String[] splitStr = skipPath.split(",");
/*
* 배열 [1] httpMathod 방식 post get 인지 구분
* 배열 [0] 제외하는 url
* */
return new AntPathRequestMatcher(
splitStr[1],
splitStr[0]
);
}
@Override
public boolean matches(HttpServletRequest req) {
return !orRequestMatcher.matches(req) && processingMatcher.matches(req);
}
}#로그인
로그인 시 WebSecurityConfig 설정에 따라 먼저 JwtAuthFilter가 동작한다.
허용한 api이기 때문에 JwtAuthFilter를 타지 않고 CustomUsernamePasswordAuthenticationFilter를 통해 로그인이 진행된다.
기본적으로 json으로 로그인을 구현했으나, form으로도 가능하다.
username과 password를 받아 UsernamePasswordAuthenticationToken에 담아 인증을 진행한다.
public class CustomUsernamePasswordAuthenticationFilter
extends UsernamePasswordAuthenticationFilter {
final private ObjectMapper objectMapper;
public CustomUsernamePasswordAuthenticationFilter(final AuthenticationManager authenticationManager) {
super.setAuthenticationManager(authenticationManager);
objectMapper = new ObjectMapper()
.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
}
@Override
public Authentication attemptAuthentication(
HttpServletRequest request, HttpServletResponse response
) throws AuthenticationException {
UsernamePasswordAuthenticationToken authenticationToken;
if(request.getContentType().equals(MimeTypeUtils.APPLICATION_JSON_VALUE)) {
try {
LoginDto loginDto = objectMapper.readValue(
request.getReader().lines().collect(Collectors.joining()),
LoginDto.class);
authenticationToken = new UsernamePasswordAuthenticationToken(
loginDto.getUsername(),
loginDto.getPassword());
}
catch (IOException e) {
e.printStackTrace();
throw new AuthenticationServiceException("Request Content-Type(application/json) Parsing Error");
}
} else {
//form으로 받는 경우
String username = obtainUsername(request);
String password = obtainPassword(request);
authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
}
this.setDetails(request, authenticationToken);
return this.getAuthenticationManager().authenticate(authenticationToken);
}
}인증은 LoginAuthProvider를 통해 처리된다.
public class LoginAuthProvider implements AuthenticationProvider {
@Resource(name="userDetailsServiceImpl")
private UserDetailsService userDetailsService;
private final BCryptPasswordEncoder passwordEncoder;
public LoginAuthProvider(BCryptPasswordEncoder passwordEncoder) {
this.passwordEncoder = passwordEncoder;
}
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;
// CustomUsernamePasswordAuthenticationFilter 에서 생성된 토큰으로부터 아이디와 비밀번호를 조회함
String username = token.getName();
String password = (String) token.getCredentials();
// UserDetailsService 를 통해 DB에서 username 으로 사용자 조회
UserDetailsImpl userDetails = (UserDetailsImpl) userDetailsService.loadUserByUsername(username);
if (!passwordEncoder.matches(password, userDetails.getPassword())) {
throw new BadCredentialsException(userDetails.getUsername() + "Invalid password");
}
return new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
}
@Override
public boolean supports(Class<?> authentication) {
return authentication.equals(UsernamePasswordAuthenticationToken.class);
}
}
로그인 성공시에는 LoginSuccessHandler가 동작한다.
여기서 JWT 토큰을 생성해서 response header에 담아서 보낸다.
public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
public static final String AUTH_HEADER = "Authorization";
public static final String TOKEN_TYPE = "BEARER";
@Override
public void onAuthenticationSuccess(final HttpServletRequest request, final HttpServletResponse response,
final Authentication authentication) {
final UserDetailsImpl userDetails = ((UserDetailsImpl) authentication.getPrincipal());
// Token 생성
final String token = JwtTokenUtils.generateJwtToken(userDetails);
response.addHeader(AUTH_HEADER, TOKEN_TYPE + " " + token);
}
}토큰을 생성하는 JwtTokenUtils에서는 토큰의 유효시간과 토큰에 어떤 정보를 담을지, 어떤 방법으로 암호화할지를 설정한다.
public final class JwtTokenUtils {
private static final int SEC = 1;
private static final int MINUTE = 60 * SEC;
private static final int HOUR = 60 * MINUTE;
private static final int DAY = 24 * HOUR;
// JWT 토큰의 유효기간: 3일 (단위: seconds)
private static final int JWT_TOKEN_VALID_SEC = 3 * DAY;
// JWT 토큰의 유효기간: 3일 (단위: milliseconds)
private static final int JWT_TOKEN_VALID_MILLI_SEC = JWT_TOKEN_VALID_SEC * 1000;
public static final String CLAIM_EXPIRED_DATE = "EXPIRED_DATE";
public static final String CLAIM_USER_NAME = "USER_NAME";
public static final String JWT_SECRET = "jwt_secret_!@#$%";
public static String generateJwtToken(UserDetailsImpl userDetails) {
String token = null;
try {
token = JWT.create()
.withIssuer("sparta")
.withClaim(CLAIM_USER_NAME, userDetails.getUsername())
// 토큰 만료 일시 = 현재 시간 + 토큰 유효기간)
.withClaim(CLAIM_EXPIRED_DATE, new Date(System.currentTimeMillis() + JWT_TOKEN_VALID_MILLI_SEC))
.sign(generateAlgorithm());
} catch (Exception e) {
System.out.println(e.getMessage());
}
return token;
}
private static Algorithm generateAlgorithm() {
return Algorithm.HMAC256(JWT_SECRET);
}
}로그인 실패시에는 다음과 같이 에러메시지를 보낸다.
public class LoginFailureHandler implements AuthenticationFailureHandler {
@Override
public void onAuthenticationFailure(
HttpServletRequest request,
HttpServletResponse response,
AuthenticationException exception
) throws IOException, ServletException {
String errorMsg = "";
if(exception instanceof UsernameNotFoundException) {
errorMsg = "존재하지 않는 아이디입니다.";
} else if(exception instanceof BadCredentialsException) {
errorMsg = "아이디 또는 비밀번호가 잘못 입력되었습니다.";
}
if(!StringUtils.isEmpty(errorMsg)) {
request.setAttribute("errorMsg", errorMsg);
}
// 401 에러로 지정
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
// json 리턴 및 한글깨짐 수정.
response.setContentType("application/json;charset=utf-8");
JSONObject json = new JSONObject();
json.put("httpStatus", HttpStatus.UNAUTHORIZED);
json.put("errorMessage", errorMsg);
PrintWriter out = response.getWriter();
out.print(json);
}
}
#인증 과정
JwtAuthFilter에 따라서 허용되지 않은 api는 header에서 토큰을 빼서 authenticationManager - JWTAuthProvider를 통해 인증이 진행된다.
/**
* Token 을 내려주는 Filter 가 아닌 client 에서 받아지는 Token 을 서버 사이드에서 검증하는 클레스 SecurityContextHolder 보관소에 해당
* Token 값의 인증 상태를 보관 하고 필요할때 마다 인증 확인 후 권한 상태 확인 하는 기능
*/
public class JwtAuthFilter extends AbstractAuthenticationProcessingFilter {
private final HeaderTokenExtractor extractor;
public JwtAuthFilter(
RequestMatcher requiresAuthenticationRequestMatcher,
HeaderTokenExtractor extractor
) {
super(requiresAuthenticationRequestMatcher);
this.extractor = extractor;
}
@Override
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response
) throws AuthenticationException, IOException {
// JWT 값을 담아주는 변수 TokenPayload
String tokenPayload = request.getHeader("Authorization");
if (tokenPayload == null) {
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.setContentType("application/json;charset=utf-8");
JSONObject json = new JSONObject();
String message = "토큰이 존재하지 않습니다.";
json.put("httpStatus", HttpStatus.UNAUTHORIZED);
json.put("errorMessage", message);
PrintWriter out = response.getWriter();
out.print(json);
}
JwtPreProcessingToken jwtToken = new JwtPreProcessingToken(
extractor.extract(tokenPayload, request));
return super
.getAuthenticationManager()
.authenticate(jwtToken);
}
@Override
protected void successfulAuthentication(
HttpServletRequest request,
HttpServletResponse response,
FilterChain chain,
Authentication authResult
) throws IOException, ServletException {
/*
* SecurityContext 사용자 Token 저장소를 생성합니다.
* SecurityContext 에 사용자의 인증된 Token 값을 저장합니다.
*/
SecurityContext context = SecurityContextHolder.createEmptyContext();
context.setAuthentication(authResult);
SecurityContextHolder.setContext(context);
// FilterChain chain 해당 필터가 실행 후 다른 필터도 실행할 수 있도록 연결실켜주는 메서드
chain.doFilter(
request,
response
);
}
@Override
protected void unsuccessfulAuthentication(
HttpServletRequest request,
HttpServletResponse response,
AuthenticationException failed
) throws IOException, ServletException {
/*
* 로그인을 한 상태에서 Token값을 주고받는 상황에서 잘못된 Token값이라면
* 인증이 성공하지 못한 단계 이기 때문에 잘못된 Token값을 제거합니다.
* 모든 인증받은 Context 값이 삭제 됩니다.
*/
SecurityContextHolder.clearContext();
super.unsuccessfulAuthentication(
request,
response,
failed
);
}
}@Component
@RequiredArgsConstructor
public class JWTAuthProvider implements AuthenticationProvider {
private final JwtDecoder jwtDecoder;
private final UserRepository userRepository;
@Override
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
String token = (String) authentication.getPrincipal();
String username = jwtDecoder.decodeUsername(token);
// TODO: API 사용시마다 매번 User DB 조회 필요
// -> 해결을 위해서는 UserDetailsImpl 에 User 객체를 저장하지 않도록 수정
// ex) UserDetailsImpl 에 userId, username, role 만 저장
// -> JWT 에 userId, username, role 정보를 암호화/복호화하여 사용
User user = userRepository.findByUsername(username)
.orElseThrow(() -> new UsernameNotFoundException("Can't find " + username));
UserDetailsImpl userDetails = new UserDetailsImpl(user);
return new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
}
@Override
public boolean supports(Class<?> authentication) {
return JwtPreProcessingToken.class.isAssignableFrom(authentication);
}
}
'항해99 > 개발일지' 카테고리의 다른 글
| 20220218 개발일지 #클론코딩 엔티티 설계하기 (0) | 2022.02.19 |
|---|---|
| 20220217 #미니프로젝트2 마무리 (0) | 2022.02.18 |
| 20220215 개발일지 #세션? JWT? (0) | 2022.02.16 |
| 20220214 개발일지 #Spring security 아키텍처 공부하기 (0) | 2022.02.14 |
| 20220212 개발일지 #스프링 시큐리티 세션 토큰으로 보내기 (0) | 2022.02.14 |