[Spring Security] JWT와 Authentication객체 (쓰임의 차이, 내가 헷갈렸던 부분 정리)

나는 지금

JWT 토큰 생성 + 유효성 검사하는 클래스 공부하다가

생긴 궁금증들이 있어서

정리 하려고함

​

걍 내가 이해하면서 주절주절 쓰는거라

읽기 안좋을 수 있음..ㅎ

​

 

 

/*
토큰 생성 & 올바른 토큰인지 유효성 검사
토큰에서 필요한 정보 가져오는 클래스
 */
@RequiredArgsConstructor
@Service
public class TokenProvider {

    private final JwtProperties jwtProperties;

    public String generateToken(User user, Duration expiredAt) {

        Date now = new Date();

        return makeToken(new Date(now.getTime() + expiredAt.toMillis()), user);

    }

    // JWT 토큰 생성 메서드
    private String makeToken(Date expiry, User user) {

        Date now = new Date();

        return Jwts.builder()
                .setHeaderParam(Header.TYPE, Header.JWT_TYPE)
                .setIssuer(jwtProperties.getIssuer())
                .setIssuedAt(now)
                .setExpiration(expiry)
                .setSubject(user.getEmail())
                .claim("id", user.getId())
                .signWith(SignatureAlgorithm.HS256, jwtProperties.getSecretKey())
                .compact();
    }

    // JWT 토큰 유효성 검증 메서드
    public boolean validToken(String token) {
        try{
            Jwts.parser().setSigningKey(jwtProperties.getSecretKey())
                    .parseClaimsJws(token);

            return true;
        } catch (Exception e){
            return false;
        }
    }

    // 토큰 기반으로 인증 정보를 가져오는 메서드
    public Authentication getAuthentication(String token) {

        Claims claims = getClaim(token);

        Set<SimpleGrantedAuthority> authorities = Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"));

        return new UsernamePasswordAuthenticationToken(new org.springframework.security.core.userdetails.User(claims.getSubject(), "", authorities), token, authorities);
    }

    // 토큰 기반으로 유저 ID 가져오는 메서드
    public Long getUserId(String token) {

        Claims claims = getClaim(token);

        return claims.get("id", Long.class);
    }

    private Claims getClaim(String token) {
        return Jwts.parser()
                .setSigningKey(jwtProperties.getSecretKey())
                .parseClaimsJws(token)
                .getBody();
    }
}

 

 

 

일단 JWT의 역할은

티켓같은거임. 증명서 역할??

서버입장에서는, '이 유저가 진짜 로그인했떤 그 사용자가 맞구나'라고

확인하는 증명서에 불과함.

​

반면에 Authenticaion객체는

스프링 시큐리티가 내부에서 쓰는

로그인 상태 표현 객체 라고 함.

서버는 이 객체를 기준으로

'지금 요청 보낸 사람 누구지?'

'이 사람 권한 있나?'

'로그인 되어있나?'

등등을 판단하게 됨.

​

​

​

굳이 Authentication객체를 왜 만들까?

JWT안에도 페이로드 내용이 있는데,

그걸 보고 누군지, 유효기간 언젠지 보면 되는거 아님?!

난 이러케 생각했기때문에

Authentication객체의 필요성에 대해서 궁금했음.

​

일단 필요한 이유

1. Spring Security 가 작동하려면 필요함

스프링 시큐리티는 내부적으로

​

a. 클라이언트가 JWT 갖고 요청함

b. 필터가 JWT를 파싱 -> 사용자 정보를 추출함

c. 그걸 바탕으로 Authentication객체 만듦

d. 그걸 SecurityContextHolder에 저장

e. 이후에 @AuthenticationPrinciple, hasRole 등에서 인증된 사용자로 인식.

​

-> 즉, 스프링 시큐리티가 인증된 사용자로 인식하고 권한 체크할라면

반드시 Authentication객체가 필요한거임.

​

​

2. 서버 내부에서 인증/인가 처리를 위해 필요함

예를 들어, 컨트롤러에서 현재 로그인한 사용자 정보가 필요할 때

 

@GetMapping("/profile")
public ResponseEntity<UserProfile> myProfile(@AuthenticationPrincipal UserDetails userDetails) {
    // 여기서 userDetails = Authentication 객체 안에 있는 principal
    return userService.getProfile(userDetails.getUsername());
}

 

이런식으로 씀.

이게 가능하려면 Authentication객체 만들어서

SecurityContextHolder에 등록해야됨. 그래야

@AuthenticationPrinciple 어노테이션 쓸 수 있음.

​

​

​

​

아무튼 JWT는 그냥 Stirng 문자열, 증거일뿐.

Spring Security는 그 토큰을 보고 파싱해서

Authentication객체 만들어서 저장해둬야함.

​

그걸 위한 메서드가 getAuthentication()메서드!

(이 메서드 보면 getClaim함수 써서 뭐 가져오고있는데,

이게 token받아서 그 안의 정보 추출해오는 부분임!)