[Spring] JWT Token 사용하기

📝 JWT 구조

• 헤더(Header) + 내용(payload) + 서명(Signature)
• 헤더: typ (토큰 타입) + alg (해싱 알고리즘 정보 ex. RSA, SHA256 등)
• 내용(payload) : 토큰에 담는 정보 → 클레임 (registered claim, public claim, private claim)
• 서명(signature) : 헤더의 인코딩 값과 내용의 인코딩 값 합쳐서 주어진 secret key로 해싱하여 생성한 값으로, 일반적으로 사용자의 비밀번호를 secret key로 사용한다.

 

 

📝 OAuth2 토큰 인증

1. 사용자는 ID 패스워드(credential) 입력해서 POST로 서버에 요청 보냄
2. 서버에서 사용자 credential 검증 후 JWT token 생성
3. JWT token을 안드로이드 기기에 저장. 보안이 적용되는 안전한 장소에 보관한다. token은 API 요청 시 사용
4. JWT token 만료 시 다시 ID와 패스워드 입력하는(사용자 인증) 액티비티 띄운다.

 

 

📝 Authentication

• 사용자 인증
  • token
• JWT Token 유효성 검증
  • secret key로 JWT 토큰 디코딩한다. 
  • 페이로드의 userId와 사용자가 제공한 userId가 동일한지 비교하여 인증한다.
  • 인증된 사용자에게 자원 접근 권한을 제공한다.

 

 

 

📝 JWT 토큰에 포함할 payload 

• credential (userId)
  • 다른 정보도 포함할 수 있지만, 토큰은 사용자를 식별할 수만 있으면 되기 때문에 사용자 정보에서 _Id (SQL에서는 primary key)에 해당하는 userId만 있어도 사용자를 식별할 수 있어서 userId만 넣기로 했다.

 

 

📝 JWT 로직

• 로그인 인증
  • credential(id, password) 정보와 함께 로그인 인증 요청에 대해 인증 후, 토큰을 발급하여 클라이언트에 리턴한다. 
• 로그인 유지
  • 사용자가 로그인 유지를 체크한 경우 토큰 유효기간을 길게 설정 (유효기간을 없게 하지는 않고 유효기간을 길게 설정하기로 했다.)
• 사용자에게 토큰 반환

 

 

📝 JWT Token을 이용한 로그인 인증 구현

Dependency

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

• pom.xml 파일에 위의 maven dependency 추가

 

JWT 토큰 클래스

@Service
public class JWTService {
	private static final String secretKey = "secretkey";
	private long expire = 1000L * 60 * 60 * 24; // 토큰 유효기간: 24시간
	// 토큰 생성 메소드
	public String createToken(User user, String AutoLogin) {
		// 토큰 서명 알고리즘 
		SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
		// 로그인 유지 체크 안 된 경우 - 7일 유효
		if(AutoLogin.equals("true")) {
			return Jwts.builder()
					.setHeaderParam("typ", "JWT")
					.claim("id", user.getId())
					.setExpiration(new Date(System.currentTimeMillis() + 7*expire))
					.signWith(signatureAlgorithm, secretKey.getBytes())
					.compact();
		}else{ // 로그인 유지 체크된 경우 - expire 있긴 함
			return Jwts.builder()
					.setHeaderParam("typ", "JWT") // 토큰 타입
					.claim("id", user.getId()) // payload 넣기
					.setExpiration(new Date(System.currentTimeMillis() + expire))
					.signWith(signatureAlgorithm, secretKey.getBytes()) // 토큰 서명
					.compact(); // 직렬화
		}		
	}
	// 토큰 속 claim 정보 가져오는 메소드
	public Claims getClaim(String token) {
		Claims claims = Jwts.parser()
				.setSigningKey(secretKey.getBytes())
				.parseClaimsJws(token)
				.getBody();
		return claims;
	}

	// JWT token 유효성 검증 메소드
	public boolean checkTokenExp(String token) {
		try{
			Claims claims = Jwts.parser()
					.setSigningKey(secretKey.getBytes())
					.parseClaimsJws(token)
					.getBody();
			System.out.println("[+] expire: " + claims.getExpiration());
			return true;
		}catch(ExpiredJwtException e) { // 토큰 만료된 경우
			System.out.println("[-] Token Expired");
			return false;
		}catch(JwtException e) { // 토큰 변조된 경우
			System.out.println("[-] Token Modified");
			return false;
		}
	}
}

• createToken: 토큰 생성 메소드. 토큰 타입(JWT), claim 정보(id), 토큰 유효기간, 토큰 서명 방법을 지정해서 토큰 생성하는 메소드
• getClaim: 토큰에 담긴 claim 정보 (id)를 토큰 생성 시 사용한 secret key로 얻는 메소드
• checkTokenExp: 토큰 유효성 검증하는 메소드

 

Spring 로그인 인증 메소드

// 로그인
	@PostMapping("signIn/general")
	public User signInAuth(@RequestBody HashMap<String,String> loginInfo, HttpServletResponse response) {
		System.out.println("[+] Login authentication from Android");
		
		System.out.println("[+] id: " + loginInfo.get("id") + ", password: " + loginInfo.get("password") + ", AutoLogin: " + loginInfo.get("AutoLogin"));
		List<User> list = mongoTemplate.find(new Query(new Criteria("_id").is(loginInfo.get("id")).and("password").is(loginInfo.get("password"))), User.class, "User");
		if(list.size() > 0) {
			
			System.out.println("[+] Login Success");
			System.out.println(list.get(0).toString());
			// JWT Token 생성
			String token = jwtService.createToken(list.get(0), loginInfo.get("AutoLogin"));
			System.out.println("token: " + token);
			// HTTP 헤더에 token 넢기
			response.setHeader("jwt-token", token); 
		
			return list.get(0);
		}else {
			System.out.println("[+] Login Failed");
			return null; 
		}
	}

• client에서 (여기서는 안드로이드) 보낸 credential(id, password) 정보를 통해 사용자를 인증하고, createToken 메소드로 토큰을 발급해준다. 이후 http 헤더에 토큰을 넣고 사용자 정보를 반환한다.

 

 

로그인 인증 결과 (Spring)

• 클라이언트(안드로이드)로부터 받은 정보로부터 사용자 인증을 하고 토큰이 발급된 것을 확인할 수 있다.

 

로그인 인증 결과 (Android)

• 서버로부터 로그인 인증 결과 응답을 받는 성공해서 사용자 정보와 토큰 정보를 받은 것을 확인할 수 있다.