![]()
지난번 JWT를 구현한 과정에 이어서 Refresh Token을 사용하여 더욱 강화된 JWT를 구현해보고자 한다.만약 JWT에 대한 기본 구현 방법을 모른다면 해당 글을 읽기 이전에 이전에 작성한 글을 먼저 읽어보길 추천한다.아래에 작성된 예제 코드도 위 링크의 코드를 기반으로 작성했음을 유의하자.먼저 Refresh Token이 왜 필요한지를 먼저 알아보자01. Refresh Token의 필요성과 장단점기존 Access Token만을 사용한 인증 방식의 문제점물론 지난번에 구현한 기초적인 jwt만으로도 간편하게 클라이언트의 요청에 다한 인가 작업을 처리할 수 있다.하지만 jwt 방식에는 큰 문제가 하나 있다.그것은 바로 jwt 토큰이 탈취되었을 경우 어떻게 대처할 것인가?에 관련된 문제이다.다들 알다시피..
![]()
이번에는 스프링부트에서 JWT를 활용한 인증 방식을 구현해보고자 한다.이때 Spring Security의 필터단에 JWT를 사용하는 커스텀 필터를 끼워넣어 구현하고자 한다.JWT의 구조에 관한 글은 이전에 작성한 글을 참고하자.그럼 바로 시작하겠다.01. 전체 동작 과정JWT를 구현하는 코드를 설명하기 전에 먼저 Spring Security를 활용하여 JWT를 동작시키는 과정을 살펴보고자 한다.하나씩 살펴보자회원가입 과정회원가입은 기존 회원가입과 다르지 않게, DTO로 회원가입 정보를 전달받으면 Controller가 이를 Service에 전달 이후 비즈니스 로직을 실행한다.위 그림에는 나오지 않지만 회원 정보를 저장할때 비밀번호를 암호화 하여 저장하는 부분만 유의하자.최초인증(로그인) 과정원래 스프링 시..
![]()
세션 방식에서의 최초 인증(로그인) 과정이미지 출처UsernamePasswordAuthenticationFilter의 내부를 살펴보기 전에 먼저, 세션 방식에서의 인증 과정을 살펴보자.먼저 클라이언트의 로그인 요청이 들어오면 UsernamePasswordAuthenticationFilter필터(위 이미지의 AuthenticationFilter)에서 요청을 가로챈다.***(1)AuthenticationFilter에서는 클라이언트 요청에 담긴 인증 정보를 가지고 UsernamePasswordAuthenticationToken 객체를 생성한다.(2)그렇게 생성한 UsernamePasswordAuthenticationToken을 AuthenticationManager에게 넘겨주면서 인증 과정을 Authentic..
유저별로 표시할 내용이 달라야 하는 경우, 페이지를 리턴하기 전에 먼저 로그인한 유저가 누구인지 알아야 할 필요가 있다.스프링부트에서는 Controller단에서 로그인된 유저를 얻을 수 있도록 @AuthenticationPrincipal 아노테이션을 지원한다.사용 예시@PostMapping("/diary/write") public String postDiaryWrite(@AuthenticationPrincipal User user, DiaryDto.CreateDiaryDto diaryDto){ diaryService.createDiaryWithUserid(diaryDto,user.getUser_id()); return "redirect:/today"; } 컨트롤러 단에..
![]()
✨ 문제 상황스프링 부트에서 사용자에 대한 권한 처리도 잘 해주었고, 경로별 인가 설정도 잘 해주었는데 계속해서 403 error 발생Data BaseSecurityConfig.java경로 접근시 에러 발생✨ 문제 원인찾아보니, 스프링 시큐리티에서의 role 값은 항상 'ROLE_' 이라는 접두사가 붙어있어야 한다고 한다.예를들어 기존에 USER 라고 저장되어있었다면, ROLE_USER로 값을 저장해야 스프링 부트가 권한을 인식한다.AuthorityAuthorizationManager.class in Spring Security실제로 인가 권한을 체크하는 hasAnyRole() 메소드에서 권한을 체크할 때 ROLE_ prifix를 붙힌 후 검사하는 코드를 확인할 수 있다.✨ 수정DB의 role 값에 RO..
이번에는 스프링 시큐리티를 통해 세션 관련 설정하는 방법을 알아보고자 한다.스프링 시큐리티를 통해 간편하게 설정할 수 있다.하나씩 살펴보자.✨ 세션 만료시간 설정하기application.properties# 세션 만료 시간 설정# 초 단위 설정: 단위X ex) timeout=1800 1800초# 분 단위 설정: m ex) timeout=90m 90분sever.servlet.session.timeout=90m application.properties 파일에 위와 같은 코드를 작성함으로써 세션 만료 시간을 설정할 수 있다. 🎈 세션 만료 시간사용자가 로그인시 발급받은 세션에 대한 지속 시간사용자의 마지막 동작부터 만료 시간이 카운팅 됨 ✨ 동시 세션 최대 갯수 설정하기Security..
