9. OAuth2.0 & Spring Security 적용 전 공부 1

적용 전 고민들

이전에는 OAuth2와 Session을 결합하여 사용하거나, OAuth2로 로그인 되어있는 사람의 정보를 받아와서 정보를 받아와서 따로 처리해서 사용했다.

Session을 이용하면 편하긴 했지만, OAuth2 인증 유저와 결합한 테스트 작성 시 여러 문제가 발생하여 여러 방법을 찾아보았지만, 결국 테스트 돌파구를 찾지 못하여, Controller에서 OAuth2 로그인 유저의 attributes 정보를 직접 받아와서, Email 주소 를 파싱해내어 사용하는 번거로운 과정을 사용했었다.

이번에는 세션이 아닌, Jwt 인증 방식을 사용해보고자 하는데, 이유는 다음과 같다.

주의할 점도 당연히 있다.

사용자 인증 정보가 필요한 요청을 보낼 때, 헤더에 JWT 토큰 값을 넣어 보내야 하기 때문에, 보내는 데이터의 양이 증가하고, 이로 인해 네트워크 부하가 늘어날 수 있다.
토큰 자체에 사용자 정보를 담고 있기 때문에, JWT가 만료되기 전에 탈취당하면 서버에서 처리할 수 있는 일이 없다.
JWT 방식은 한번 만들어 클라이언트에게 전달하면 제어가 불가능하다.

→ 만료 시간을 필수적으로 넣어줘야 하기 때문에, 보통은 아래와 같이 두 가지 토큰으로 구성한다.
- 짧은 만료 기간을 갖는 JWT - Access Token
- 상대적으로 긴 만료 기간을 갖는 JWT - Refresh Token → DB에 저장

그럼 OAuth2.0에 어떻게 Jwt 토큰을 사용해볼 수 있을까?