[Spring Security] 토큰 생성, 유효성 검사, 정보 빼오는 클래스 코드 - TokenProvider

전 포스팅에서 의존성 추가,

이슈 발급자 & 비밀키 설정한다음

그걸 변수로 갖고오는 클래스 (JwtProperties.java) 만들었음

​

이번에는 토큰 생성하고, 유효성 검증하고,

토큰에서 필요한 정보 빼오는 클래스 작성할거임

​

이름은 TokenProvider.java

위치는

config/jwt 디렉토리 내

 

 

 

/*
토큰 생성 & 올바른 토큰인지 유효성 검사
토큰에서 필요한 정보 가져오는 클래스
 */
@RequiredArgsConstructor
@Service
public class TokenProvider {

    private final JwtProperties jwtProperties;

    public String generateToken(User user, Duration expiredAt) {

        Date now = new Date();

        return makeToken(new Date(now.getTime() + expiredAt.toMillis()), user);

    }

    // JWT 토큰 생성 메서드
    private String makeToken(Date expiry, User user) {

        Date now = new Date();

        return Jwts.builder()
                .setHeaderParam(Header.TYPE, Header.JWT_TYPE)
                .setIssuer(jwtProperties.getIssuer())
                .setIssuedAt(now)
                .setExpiration(expiry)
                .setSubject(user.getEmail())
                .claim("id", user.getId())
                .signWith(SignatureAlgorithm.HS256, jwtProperties.getSecretKey())
                .compact();
    }

    // JWT 토큰 유효성 검증 메서드
    public boolean validToken(String token) {
        try{
            Jwts.parser().setSigningKey(jwtProperties.getSecretKey())
                    .parseClaimsJws(token);

            return true;
        } catch (Exception e){
            return false;
        }
    }

    // 토큰 기반으로 인증 정보를 가져오는 메서드
    public Authentication getAuthentication(String token) {

        Claims claims = getClaim(token);

        Set<SimpleGrantedAuthority> authorities = Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"));

        return new UsernamePasswordAuthenticationToken(new org.springframework.security.core.userdetails.User(claims.getSubject(), "", authorities), token, authorities);
    }

    // 토큰 기반으로 유저 ID 가져오는 메서드
    public Long getUserId(String token) {

        Claims claims = getClaim(token);

        return claims.get("id", Long.class);
    }

    private Claims getClaim(String token) {
        return Jwts.parser()
                .setSigningKey(jwtProperties.getSecretKey())
                .parseClaimsJws(token)
                .getBody();
    }
}

 

책에 있는 코드 그대로인데,

import 몇개 잘못해서 에러났었음

​

쌩뚱맞은거 import하지않게 조심하삼

​

​

이제 한줄씩 뜯어서 분석해보겟삼

 

 

 

---

 

 

public String generateToken(User user, Duration expiredAt) {

        Date now = new Date();

        return makeToken(new Date(now.getTime() + expiredAt.toMillis()), user);

    }

 

제일 먼저 토큰 만드는 함수

generateToken 메서드

인자로 user랑 만료일자 받아서 만든다

return 타입은 String이고

makeToken메소드를 통해 만든 토큰을 return함

 

 

 

 

---

 

이제 makeToken()메서드를 보면

 

// JWT 토큰 생성 메서드
    private String makeToken(Date expiry, User user) {

        Date now = new Date();

        return Jwts.builder()
                .setHeaderParam(Header.TYPE, Header.JWT_TYPE)
                .setIssuer(jwtProperties.getIssuer())
                .setIssuedAt(now)
                .setExpiration(expiry)
                .setSubject(user.getEmail())
                .claim("id", user.getId())
                .signWith(SignatureAlgorithm.HS256, jwtProperties.getSecretKey())
                .compact();
    }

 

이게 이제 딱 JWT 토큰을 만드는 메인 함수임

​

​

expiry랑 user를 매개변수로 받음.

expiry는 new Date(now.getTime() + expiredAt.toMillis())

로 generateToken에서 넣어주고있음.

​

즉, 현재 시각 now로부터 expiredAt만큼 더한 시점 = 만료 시간(expiry) 을 계산

정리하자면

expiry는 JWT의 만료시간을 알려주는 Duration객체임!

​

참고로

Jwts.builder() 부분은 JWT 토큰을 "직접 구성(Build)"하는 곳

​

​

.setHeaderParam(Header.TYPE, Header.JWT_TYPE)

헤더 타입을 JWT로 지정하고

​

.setIssuer(jwtProperties.getIssuer())

properties파일에서 지정한 이슈어 값으로 지정함

​

.setIssuedAt(now)

.setExpiration(expiry)

만들어진 시간, expiry(유효시간) 넣어주고 있고

​

.setSubject(user.getEmail())

유저 이메일 넣어주고있음

사용자 식별 정보

인증 과정에서 ㅇ이 값을 기준으로 사용자 조회할 수도있다고 함

​

​

.claim("id", user.getId())

쿨래암 id = 유저 ID

커스텀 클레임 넣는 부분.

id라는 키에 유저ID를 넣고있음.

원하는 정보를 키-값 형태로 삽입 가능

(ex. claim("role", "ADMIN") 등..)

​

.signWith(SignatureAlgorithm.HS256, jwtProperties.getSecretKey())

토큰에 디지털 서명

요 서명을 통해서 변조 여부 판단 가능

​

.compact();

지금까지 설정한 모든 정보를 하나의 JWT 문자열(String)으로 압축해서

반환!!!!

​

그럼 최종적으로

aaaaa.bbbbb.cccc

이런 우리가 아는 JWT토큰 모양새가 됨.

​

​

 

---

다음은 JWT토큰 유효성 검사하는 메서드

 

// JWT 토큰 유효성 검증 메서드
    public boolean validToken(String token) {
        try{
            Jwts.parser().setSigningKey(jwtProperties.getSecretKey())
                    .parseClaimsJws(token);

            return true;
        } catch (Exception e){
            return false;
        }
    }

​

 

Jwts.parser().setSigningKey(jwtProperties.getSecretKey())

.parseClaimsJws(token);

우리가 properties파일에서 지정해놨던

secret_key로 복호화 하는 과정임.

​

복호 과정에서 에러 안나면 true 반환함.

 

 

 

---

 

 

// 토큰 기반으로 인증 정보를 가져오는 메서드
    public Authentication getAuthentication(String token) {

        Claims claims = getClaim(token);

        Set<SimpleGrantedAuthority> authorities = Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"));

        return new UsernamePasswordAuthenticationToken(new org.springframework.security.core.userdetails.User(claims.getSubject(), "", authorities), token, authorities);
    }

 

위에서 만든 token을 매개변수로 받아서

인증 정보를 담아 Authentication객체를 반환하는 메서드임.

​

Claims claims = getClaim(token);

JWT 토큰 파싱해서 JWT페이로드(body)내용을 Claims 객체 로 받아옴

사용자 이메일이 들어있는 토큰 제목 sub와 토큰 기반으로

인증 정보를 생성.

이 안에 subject, id, exp..등 있음

​

​

​

Set<SimpleGrantedAuthority> authorities = Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"));

유저에게 부여된 권한 목록을 설정함

(여기서는 ROLE_USER 하나만 설정했음)

​

​

return new UsernamePasswordAuthenticationToken(new org.springframework.security.core.userdetails.User(claims.getSubject(), "", authorities), token, authorities);

이 줄이 핵심인데,

최종적으로 Authentication 객체 만들어서 반환하는거임

( 보통 이 getAuthentication()메서드는

JWT 필터 내에서 호출됨.

Authentication객체를 SecurityContext에 등록해주는것. )

​

인자가 세개인데,

UserDetail 객체, token, authorities

이렇게 세개임.

지피티 돌려보니까

(principle, credentials, authorities라고 함)

​

​

첫번째부터 보면

principle은 "인증된 사용자 정보" 라고 함.

new org.springframework.security.core.userdetails.User(claims.getSubject(), "", authorities)

스프링 시큐리티 내부적으로 쓰는 UserDetail 객체 만들고 있음.

UserDetail 객체 넘겨서, 나중에 컨트롤러에서 @AuthenticationPrinciple로 유저 정보

뽑아내서 쓸 수 있게 해줌.

​

claims.getSubject() 는 토큰에서 추출한 이메일 or 유저네임 (식별되는거. 내 경우 email)

​

"" : 빈 문자열. 비번 필요 없으니까

이거 왜넣냐?

UserDetail 객체인 User만들 때 비번도 넣어야됨.

근데 우리는 JWT 방식으로 하고 있어서 아무 의미 없음

노의미. 그래서 빈 문자열 넣는거임.

​

authorites : 이 유저의 권한들. 여기서는 ROLE_USER

​

​

두번째 인자 보면

token

​

credentials라고 함.

사용자가 인증할 때 제출한 자격 증빙. 이라고 합니다.

전통적인 로그인이라면 여기에 비밀번호가 들어가야 한다고함.

​

근데 우린 JWT 기반 로그인 하는 중이라

토큰 자체가 인증 수단이라서

걍 token문자열 그대로 넣는거라고 합니다.

​

​

​

세번째 인자 보면

authorities

​

위에서

Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"))

로 권한 목록 만들었음.

​

지금은 하드코딩으로 ROLE_USER하나만 넣은 상태긴함.

​

이 사용자가 어떤 권한을 갖고 있는가?를

요걸로 체크함.

 

 

 

 

 

 

---

// 토큰 기반으로 유저 ID 가져오는 메서드
    public Long getUserId(String token) {

        Claims claims = getClaim(token);

        return claims.get("id", Long.class);
    }

 

토큰 기반으로 user의 ID를 가져오는 메서드임

JWT토큰에서 유저 ID를 꺼내기 위한 함수.

​

getClaim함수 호출해서 클레임 정보 받고,

그 클레임에서 id 키로 저장된 값 가져와서 반환함.

​

그렇다면 아까 위에서 Authentication객체 만들 때도 userId 꺼내오지 않았냐

이 함수가 왜 필요하냐?

​

그건 Authentication객체 안쓰고 토큰에서 유저ID만 직접 꺼내고 싶을때가

있기 때문!

​

아까 위에서 한건, Authentication객체를

SecurityContext에 등록해서 꺼내보는 용도였음.

​

​

​

또 궁금한게

Authentication객체와 JWT 토큰의 역할이 혼동되기 시작함

​

getAuthentication()메서드 역할이 인증 정보 생성이라고 하던데

인증 정보 = JWT아닌가?

 

 

 

라고 하십니다.

​

JWT는, 이 사용자가 인증 받았다는 증거를 내미는 티켓같은거고

Authentication객체는 인증 상태 표현 객체..라고 함.

​

즉 getAuthentication()이 하는 일은,

JWT 토큰을 기반으로,

사용자 정보를 복호!해서 SpringSecurity가 내부적으로 이해할 수 있는

Authentication객체를 만드는 거임.

​

​

​

​

+

또 궁금했던게

UsernamePasswordAuthenticationToken이거였음.

이걸 return하고 있던데, 타입은 Authentication임

​

UsernamePasswordAuthenticationToken은 Authentiation구현체 중 하나라고 합니다.

​

그래서

 

UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection authorities)

 

이런 느낌으로 만드는건데,

SpringContextHolder는 인증된 사용자를 UserDetails 타입으로 저장한ㄴ다고 함.

그래서 JWT로부터 뽑아낸 사용자 정보( claims.getSubject(), "", authorities )

를 UserDetail형태로 만들어서 넣는것.

​

​

​

​

​

그렇다고 합니다.

​

넘 복잡함 ㅠ

내일 다시 정리해야지

 

절대 지금 귀찮아서 그런건 아님