본문 바로가기

Spring Security18

[OAuth2] OAuth2 로그인 후 SuccessHandler 구현 @RequiredArgsConstructor@Componentpublic class OAuth2SuccessHandler extends SimpleUrlAuthenticationSuccessHandler { public static final String REFRESH_TOKEN_COOKIE_NAME = "refresh_token"; public static final Duration REFRESH_TOKEN_DURATION = Duration.ofDays(14); public static final Duration ACCESS_TOKEN_DURATION = Duration.ofDays(1); public static final String REDIRECT_PATH = "/artic.. 2025. 5. 17.

[OAuth2] 내가 보려고 만든 OAuth2 흐름 정리 시간 순서대로 [1] 클라이언트가 로그인 버튼 클릭 -> 서버 요청 GET /oauth2/authorization/kakao Spring Security가 필터 체인에서 처리,OAuth2AuthorizationrequestRedirectorFilter가 동작 [2] 서버 : OAuth2AuthorizationRequest 객체 생성OAuth2AuthorizationRequest authorizationRequest = OAuth2AuthorizationRequest .authorizationCode() .clientId("KAKAO_CLIENT_ID") .authorizationUri("https://kauth.kakao.com/oauth/authorize") .redirectUr.. 2025. 5. 16.

[Spring Security] 쿠키 vs 헤더로 JWT 보내기 아직도 로그인에서 벗어나지 못한 나그치만 너무 어려워.......이거 어려워하는거 나만 그런거 아니겠찌?.. 암튼 OAuth2 카카오로 로그인하는 부분 흐름을 공부하던 중에,인가 코드 받고 -> 엑세스 토큰 받고 -> 사용자 정보 요청하고-> 그 사용자 정보로 JWT 토큰 만들고-> 그 토큰을 쿠키에 담아서 브라우저로 보낸다-> 브라우저는 해당 쿠키를 매 요청시 포함해서 보낸다 까지는 알겠는데,그럼 왜 굳이 쿠키를 쓸까? 하는 의문이 들었음 쿠키라는게,사용자가 누군지 기억해줘서 로그인을 유지시키고..이런 장점이 있다고 들었는데,지금까지의 흐름을 보면 이 쿠키의 장점이 활용되는게 어디에도 없어보임. 그래서 알아봤는데,요약하자면 브라우저 환경에서의 보안과, 개발자 편의성 때문이라고 함. Authorizat.. 2025. 5. 15.

[Spring Security] Refresh Token 기반으로 new AccessToken받는 API 구현하기 내가 예전 포스팅에서 썻던 토큰 인증 과정임. [리프레시 토큰 발급 과정]1. 클라이언트 -> 서버 : 인증 요청2. 서버 -> 클라이언트 : 액세스 토큰 & 리프레시 토큰 응답3. 서버 -> DB : 리프레시 토큰은 저장4. 클라이언트 -> 서버 :API 요청5. 서버 : 토큰 유효성 검사 하고 응답~~ 시간이 흐르고 ~~6. 클라이언트 -> 서버 : (만료된 토큰으로) API 요청7. 서버 -> 클라이언트 : 토큰 만료됐다고 응답8. 클라이언트 -> 서버 : (리프레시 토큰과 함꼐) 액세스 토큰 발급 요청9. 서버 -> DB : 리프레시 토큰 조회 & 유효성 검사10. 서버 -> 클라 : 만족하면, new 액세스 토큰으로 응답11. 클라 -> 서버 : new 액세스 토큰으로 다시 요청...(4번부터.. 2025. 5. 5.

[Spring Security] Token Filter 구현하기 config 디렉토리에TokenAuthenticationFilter.java 파일 만들거임. 이 필터에서는, 토큰에 담긴 Authorization 헤더 가져와서,엑세스 토큰 유효하면 인증 정보 설정하는걸 할거임. @Override protected void doFilterInternal( HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 요청 헤더의 Authorization 키의 값 조회 String authorizationHeader = re.. 2025. 5. 5.

[Spring Security] SecurityContextHolder란? 리프레쉬 토큰은 DB에도 보관하기 때문에Entity랑 Repository까지 만들어준 상태 이제 토큰 필터를 만들 차례임. 필터는 전달되기 전후에URL패넡에 맞는 모든 요청 처리하는 기능이 있음.HTTP요청이 controller까지 도달하기 전/후에 작동. 요청이 오면, 헤더값 비교해서 토큰 있는지 확인함.유효성 확인하고유효한 토큰이면 Security Context Holder(클래스)에 인증 정보를 저장함. ** SecurityContextHolder는 앞에서도 잠깐 언급한 적 있는데,인증 객체(Authentication)가 저장되는 곳임.(그래서 getAuthentication()메서드가 주로 호출되는곳이 필터라고 들음)따라서 여기서 인증 객체 꺼내서 사용할 수 있음. 이 클래스는 스레드마다 공간을.. 2025. 5. 5.

[Spring Boot] 테스트코드에서 롬복 import안됨 @Getterpublic class JwtFactory { private String subject = "test1@email.com"; private Date issuedAt = new Date(); private Date expiration = new Date(new Date().getTime() + Duration.ofDays(14).toMillis()); private Map claims = emptyMap(); // 빌더 패턴 써서 설정이 필요한 데이터만 선택 설정 @Builder public JwtFactory(String subject, Date issuedAt, Date expiration, Map claims) { this.subject .. 2025. 5. 4.

[Spring Security] JWT와 Authentication객체 (쓰임의 차이, 내가 헷갈렸던 부분 정리) 나는 지금JWT 토큰 생성 + 유효성 검사하는 클래스 공부하다가생긴 궁금증들이 있어서정리 하려고함걍 내가 이해하면서 주절주절 쓰는거라읽기 안좋을 수 있음..ㅎ /*토큰 생성 & 올바른 토큰인지 유효성 검사토큰에서 필요한 정보 가져오는 클래스 */@RequiredArgsConstructor@Servicepublic class TokenProvider { private final JwtProperties jwtProperties; public String generateToken(User user, Duration expiredAt) { Date now = new Date(); return makeToken(new Date(now.getTime() + expiredA.. 2025. 5. 4.

[Spring Security] 토큰 생성, 유효성 검사, 정보 빼오는 클래스 코드 - TokenProvider 전 포스팅에서 의존성 추가,이슈 발급자 & 비밀키 설정한다음그걸 변수로 갖고오는 클래스 (JwtProperties.java) 만들었음이번에는 토큰 생성하고, 유효성 검증하고,토큰에서 필요한 정보 빼오는 클래스 작성할거임이름은 TokenProvider.java위치는 config/jwt 디렉토리 내 /*토큰 생성 & 올바른 토큰인지 유효성 검사토큰에서 필요한 정보 가져오는 클래스 */@RequiredArgsConstructor@Servicepublic class TokenProvider { private final JwtProperties jwtProperties; public String generateToken(User user, Duration expiredAt) { Da.. 2025. 5. 4.

이전 1 2 다음

티스토리툴바