SecurityContextHolder의 구조

네이버 로그인 요청 시 일어나는 일

4. OAuth2.0 OAuth

1. Bean 등록

   • 그 중, SecurityConfig도 먼저 등록된다.

     @Bean
     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
         http
                 .csrf().disable()  // Jwt token을 이용할 계획이므로, 상태 유지가 안되기 때문에 필요 없다고 사료됨.
                 .headers().frameOptions().sameOrigin()
                 .and()
                 .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                 .and()
                 .authorizeHttpRequests(authorize -> authorize
                         .antMatchers("/", "/css/**", "/images/**", "/js/**",
                                 "/h2-console/**", "/profile", "/post/**").permitAll()
                         .antMatchers("/recruitment", "/setting", "/myPosts").hasRole(USER.name())
                         .anyRequest().authenticated())
                 .oauth2Login(oauth2Login -> oauth2Login
                         .successHandler(oAuth2SuccessHandler)
                         .userInfoEndpoint()
                         .userService(customOAuth2UserService))
                 .logout(logout -> logout
                         .deleteCookies("JSESSIONID")
                         .logoutSuccessUrl("/"));
     
         return http.build();
     
     }
     

   • 내가 설정한 정보들이 일괄적으로 처리된 후 SecurityFilterChain에 등록된다

2. 로그인 요청을 가장 먼저 받아서 처리하는 곳은 CustomOAuth2UserService이다.

   

   • 위와 같은 정보들이 OAuth2UserRequest에 담겨서 들어온다

   

   • OAuth2UserRequest로 부터 load한 유저의 정보에는 위와 같은 내용들이 담겨있다.

   

   • 해당 객체를 만들어 반환하고, 로그인에 성공한다 → SuccessHandler 작동

   

   • 해당 객체는 Authentication 구현체인 OAuth2AuthenticationToken에 담겨서 SuccessHandler에 전달된다.

3. AuthenticationSuccessHandler를 커스텀한 OAuth2SuccessHandler에서 OAuth2AuthenticationToken을 처리한다

   

   • User 정보가 담긴 principal을 꺼내서 미리 만들어둔 UserDto 객체로 매핑한다

   

4. 중간에 TokenService 의 generateToken 메서드로 토큰을 생성한다.

   

   • 내가 작성한 SecretKey를 기반으로 Base64 인코딩을 해서, 암호화된 시크릿 키로 사용한다.

   

   • Jwt 토큰을 구성할 Claim에 위와 같은 정보를 담는다. (필요한 정보를 담는다)
     • Map 형식으로 정보를 추가할 수도 있다.

   

   • 토큰을 build한다. 해당 예제에서는 accessToken과 refreshToken을 둘 다 빌드하도록 구성했다.

     • 위에서 설정한 claim을 기반으로, iat와 exp라는 정보가 Claim에 추가된다.

       

     • secretKey와 설정해준 알고리즘을 기반으로 서명을 한다.

5. 만들어진 Jwt 토큰은 SuccessHandler에서 마저 처리한다.

   

   • 만들어진 토큰의 형태이다.

   

   • 생성된 토큰의 정보를 헤더에 추가하고, JSON형태로 반환하도록 한다.

   • PrintWriter를 통해 바디에 직접 내용을 작성

     

     

     • 위에 설정한 로직 떄문에 HeaderWriterFilter가 동작한다.
     • 필터를 계속 거친다(신기)

6. 많은 필터들을 거친 후, 비로소 토큰이 출력된다.

   

   • 응답 헤더에 Auth와 Refresh가 잘 들어가있다.

여기까지가 토큰 발급

OAuth 2.0, JWT

프론트 ←→ 백엔드 간 JWT를 통한 인증 구현

[Security] Spring JWT 인증 With REST API(OAuth2.0 추가) (3)

1. 프론트가 Auth 서버에 AuthorizationCode 요청
2. 프론트가 Header에 AuthenticationCode를 싣고 Server에 보냄
3. 서버는 해당 Code를 받아 Authentication Server에 AccessToken 요청