스프링 부트 백엔드 개발 강좌, JWT로 로그인 로그아웃 구현, 컨트롤러 추가하기

1. 서론

현대 웹 애플리케이션에서 보안은 가장 중요한 요소 중 하나입니다. 사용자 인증 및 권한 부여는 이러한 보안을 유지하는 핵심 기능입니다.
이번 강좌에서는 스프링 부트를 이용한 백엔드 개발에서 JWT(JSON Web Token)를 사용하여 로그인 및 로그아웃 기능을 구현하는 방법을 자세히 알아보겠습니다.
이 강좌에서는 기본적인 스프링 부트 애플리케이션을 설정하고, JWT 기반 인증 시스템을 구현하며, 컨트롤러를 추가하여 RESTful API를 완성하는 과정을 다룹니다.

2. 스프링 부트란?

스프링 부트는 자바 기반의 프레임워크인 스프링(SPRING)을 보다 쉽게 사용할 수 있도록 도와주는 도구입니다.
이를 통해 개발자는 설정과 구성을 최소화하고, 빠르게 애플리케이션을 구축할 수 있습니다.
스프링 부트는 독립 실행 가능한 JAR 파일로 패키징되어 실행될 수 있으며, RESTful 서비스를 효율적으로 개발할 수 있습니다.
스프링 부트의 주요 특성은 다음과 같습니다:

  • 자동 구성: 스프링 부트는 개발자가 필요로 하는 기본 설정을 자동으로 구성해 줍니다.
  • 스타터 패키지: 개발자는 필요한 기능을 빠르게 추가할 수 있는 스타터 패키지를 사용할 수 있습니다.
  • 내장 서버: 스프링 부트는 톰캣, 제트티, 언더타우 등과 같은 내장 서버를 제공하여, 쉽게 애플리케이션을 실행할 수 있습니다.
  • 의존성 관리: Maven 또는 Gradle을 사용해 의존성을 소스 코드 내에서 간편하게 관리할 수 있습니다.

3. JWT란?

JWT( JSON Web Token)는 안전한 정보 전송을 위한 인터넷 표준 RFC 7519입니다. JWT는 JSON 객체를 사용하여 주체(sub), 발행자(iss), 만료 시간(exp) 등의 정보를 암호화하여 전달합니다.
JWT는 세 부분으로 구성됩니다:

  1. 헤더(header): JWT의 유형과 사용할 서명 알고리즘을 지정합니다.
  2. 페이로드(payload): 전송할 정보와 그 정보를 설명하는 메타데이터를 포함합니다.
  3. 서명(signature): 헤더와 페이로드를 안전하게 하여 변조를 방지합니다. 비밀 키를 사용하여 생성됩니다.

JWT는 트래픽이 높은 환경에서 API 인증으로 많이 사용됩니다. 세션을 서버에 저장할 필요가 없기 때문에 효율적이며, 클라이언트에 상태 정보를 보관할 수 있어
서버의 부하를 줄일 수 있습니다.

4. 프로젝트 설정

4.1. 스프링 부트 프로젝트 생성

스프링 부트 프로젝트를 생성하기 위해 Spring Initializr를 사용합니다.
필요한 설정을 다음과 같이 입력합니다:

  • Project: Maven Project
  • Language: Java
  • Spring Boot: 2.6.6 (가장 최신 버전)
  • Project Metadata:
    • Group: com.example
    • Artifact: jwt-demo
    • Name: jwt-demo
    • Description: JWT Authentication Demo
    • Packaging: Jar
    • Java: 11

그리고 다음의 의존성을 추가합니다:

  • Spring Web
  • Spring Security
  • Spring Data JPA
  • H2 Database
  • jjwt (Java JWT)

4.2. 프로젝트 구조

프로젝트 생성 후, 기본 패키지 구조는 다음과 같습니다: 

    └── src
        └── main
            ├── java
            │   └── com
            │       └── example
            │           └── jwt_demo
            │               ├── JwtDemoApplication.java
            │               ├── controller
            │               ├── model
            │               ├── repository
            │               ├── security
            │               └── service
            └── resources
                ├── application.properties
                └── static

5. 데이터베이스 설정

H2 데이터베이스를 사용하여 사용자 정보를 저장할 수 있습니다.
application.properties 파일에 다음과 같이 설정합니다: 

    spring.h2.console.enabled=true
    spring.datasource.url=jdbc:h2:mem:testdb
    spring.datasource.driverClassName=org.h2.Driver
    spring.datasource.username=sa
    spring.datasource.password=
    spring.jpa.database-platform=org.hibernate.dialect.H2Dialect

6. 사용자 모델 만들기

사용자의 정보를 담기 위한 User 모델 클래스를 생성합니다. 

    package com.example.jwt_demo.model;

    import javax.persistence.*;

    @Entity
    @Table(name = "users")
    public class User {
        @Id
        @GeneratedValue(strategy = GenerationType.IDENTITY)
        private Long id;

        @Column(nullable = false, unique = true)
        private String username;

        @Column(nullable = false)
        private String password;

        // Getters and Setters...

        public User() {}

        public User(String username, String password) {
            this.username = username;
            this.password = password;
        }
    }

7. 사용자 리포지토리 생성하기

사용자 정보를 데이터베이스에서 관리하기 위해 JPA 리포지토리 인터페이스를 생성합니다. 

    package com.example.jwt_demo.repository;

    import com.example.jwt_demo.model.User;
    import org.springframework.data.jpa.repository.JpaRepository;
    import org.springframework.stereotype.Repository;

    @Repository
    public interface UserRepository extends JpaRepository {
        User findByUsername(String username);
    }

8. 보안 설정

스프링 시큐리티를 통해 JWT 인증을 구현하겠습니다. 이를 위해 WebSecurityConfigurerAdapter을 상속하는 SecurityConfig 클래스를 생성합니다. 

    package com.example.jwt_demo.security;

    import com.example.jwt_demo.filter.JwtRequestFilter;
    import com.example.jwt_demo.service.UserDetailsServiceImpl;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.context.annotation.Bean;
    import org.springframework.security.authentication.AuthenticationManager;
    import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
    import org.springframework.security.config.http.SessionCreationPolicy;
    import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

    @EnableWebSecurity
    public class SecurityConfig extends WebSecurityConfigurerAdapter {

        @Autowired
        private UserDetailsServiceImpl userDetailsService;

        @Autowired
        private JwtRequestFilter jwtRequestFilter;

        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.userDetailsService(userDetailsService);
        }

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/authenticate").permitAll()
                .anyRequest().

스프링 부트 백엔드 개발 강좌, JWT로 로그인 로그아웃 구현, 토큰 API 구현하기

JWT로 로그인/로그아웃 구현 및 토큰 API 구현하기

최근 웹 애플리케이션의 아키텍처는 점점 더 복잡해지고 있으며, 특히 보안 문제는 모든 개발자에게 중요한 이슈입니다. 본 강좌에서는 스프링 부트(Spring Boot)를 사용하여 JWT(JSON Web Token)를 기반으로 한 로그인 및 로그아웃 기능과 토큰 API를 구현하는 방법을 자세히 살펴보겠습니다. 이 강좌는 기본적인 스프링 부트 개발 경험이 있는 개발자를 대상으로 하며, JWT에 대한 이해를 포함하고 있습니다.

목차

1. JWT란 무엇인가?

JWT는 JSON Web Token의 약자로, 사용자 인증 정보를 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. JWT는 자주 사용되는 인증 방식 중 하나로, 클라이언트와 서버 간의 상태를 유지할 필요 없이 사용자가 로그인했음을 증명하는 데 사용됩니다. JWT는 세 부분으로 구성되어 있습니다:

  • 헤더(Header): 토큰의 유형과 서명 알고리즘을 지정합니다.
  • 페이로드(Payload): 사용자의 정보 및 클레임(claim)을 포함합니다.
  • 서명(Signature): 헤더와 페이로드를 기반으로 생성된 서명입니다.

JWT의 가장 큰 장점 중 하나는 Stateless 방식으로 인증을 처리할 수 있다는 점입니다. 이는 서버가 세션 정보를 저장하지 않기 때문에 서버의 부담을 줄이고, 스케일 아웃이 용이하다는 것을 의미합니다.

2. 프로젝트 설정

프로젝트를 시작하기 전에 스프링 부트 프로젝트를 생성해야 합니다. Spring Initializr를 사용하여 간단하게 프로젝트를 설정할 수 있습니다. 다음 의존성을 추가합니다:

  • Spring Web
  • Spring Security
  • Spring Data JPA
  • H2 Database (또는 원하는 데이터베이스)
  • jjwt (Java JWT 라이브러리)

프로젝트를 생성한 후, 필요한 라이브러리를 `pom.xml`에 추가합니다:



    
    
        io.jsonwebtoken
        jjwt
        0.9.1

3. 사용자 인증 및 JWT 발급

사용자 인증을 위해 User 엔티티와 UserRepository를 생성합니다. 그 후 서비스 계층을 구성하고 JWT를 생성하는 로직을 구현합니다.


// User 엔티티 예시
@Entity
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    
    private String username;
    private String password;
    
    // getters and setters
}



// UserRepository 예시
public interface UserRepository extends JpaRepository {
    Optional findByUsername(String username);
}

이제 JWT를 생성하는 기능을 추가합니다:


// JwtUtil.java
@Component
public class JwtUtil {
    
    private String secretKey = "secret"; // 실무에서는 환경변수나 별도의 파일에서 관리
    
    public String generateToken(String username) {
        return Jwts.builder()
                    .setSubject(username)
                    .setIssuedAt(new Date(System.currentTimeMillis()))
                    .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10시간
                    .signWith(SignatureAlgorithm.HS256, secretKey)
                    .compact();
    }
}

3.1 로그인 API 구현

이제 로그인 요청을 처리할 Controller를 구현합니다:


// AuthController.java
@RestController
@RequestMapping("/api/auth")
public class AuthController {
    
    @Autowired
    private AuthenticationManager authenticationManager;
    
    @Autowired
    private JwtUtil jwtUtil;
    
    @Autowired
    private UserRepository userRepository;
    
    @PostMapping("/login")
    public ResponseEntity login(@RequestBody User user) {
        authenticate(user.getUsername(), user.getPassword());
        String token = jwtUtil.generateToken(user.getUsername());
        return ResponseEntity.ok(token);
    }
    
    private void authenticate(String username, String password) {
        Authentication authentication = authenticationManager.authenticate(
            new UsernamePasswordAuthenticationToken(username, password)
        );
        SecurityContextHolder.getContext().setAuthentication(authentication);
    }
}

4. 토큰 검증 및 인가

JWT를 사용하여 인증된 요청을 처리하려면, 필터를 구현하여 요청의 헤더에 있는 토큰을 검증해야 합니다.


// JwtRequestFilter.java
@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
            if (jwtUtil.validateToken(jwt, userDetails)) {
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =
                        new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

5. 로그아웃 기능 구현

JWT는 상태를 유지하지 않기 때문에 로그아웃 기능을 구현할 때는 클라이언트에서 토큰을 삭제하면 됩니다. 하지만, 서버에서 블랙리스트를 관리하는 방법으로 로그아웃 기능을 구현할 수도 있습니다.


// 로그아웃 예시
@PostMapping("/logout")
public ResponseEntity logout(HttpServletRequest request) {
    String token = request.getHeader("Authorization").substring(7);
    // 여기에 블랙리스트에 추가하는 로직 구현
    return ResponseEntity.ok("Logout successful");
}

6. API 테스트

Postman과 같은 도구를 사용하여 API를 테스트할 수 있습니다. 로그인 요청 후, 서버에서 발급한 JWT를 사용하여 보호된 리소스에 접근할 수 있는지 확인합니다.

7. 결론

이 강좌에서는 스프링 부트를 사용하여 JWT 기반 인증 시스템을 구현하는 방법에 대해 알아보았습니다. 시스템의 요구사항에 따라 다양한 방식으로 JWT를 활용할 수 있으며, 보안은 항상 중요한 고려사항임을 명심해야 합니다. 앞으로 더 발전된 기능을 추가하여 시스템을 확장해 나가시길 바랍니다.

스프링 부트 백엔드 개발 강좌, JWT로 로그인 로그아웃 구현, 사전 지식 토큰 기반 인증

본 강좌에서는 Spring Boot를 사용하여 JWT(JSON Web Token) 기반의 로그인 및 로그아웃 기능을 구현하는 방법에 대해 심도 있게 다루겠습니다. 이 글에서는 JWT의 기본 개념과 함께, Spring Boot에서 JWT를 활용하는 방법에 대해 설명합니다. 또한, 필요한 사전 지식 및 개발 환경 설정부터 시작하여, 실제 코드 예제를 통해 이해를 돕고자 합니다.

1. 사전 지식: 토큰 기반 인증

토큰 기반 인증은 사용자 인증 정보를 토큰으로 변환하여 서버와 클라이언트 간의 안정적인 인증 방식을 제공하는 기술입니다. 이 방식은 전통적인 세션 기반 인증과 달리, 백엔드 서버가 사용자의 상태를 유지할 필요가 없기 때문에 스케일링에 유리합니다. JSON Web Token은 이와 같은 토큰 기반 인증에서 많이 사용되는 표준입니다.

1.1 JWT란?

JWT는 JSON 형식으로 인코딩된 정보를 담고 있는 토큰으로, 주로 사용자 인증 및 정보 전송을 위한 절차로 쓰입니다. JWT는 세 부분으로 나라 나뉩니다:

  1. Header: 토큰의 유형과 해싱 알고리즘을 지정합니다.
  2. Payload: 사용자 정보와 추가적인 클레임(예: 만료 시간 등)을 포함합니다.
  3. Signature: Header와 Payload를 조합한 후, secret key로 해싱하여 생성됩니다.

JWT의 예는 다음과 같습니다:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

1.2 JWT의 장점

  • 무상태성: 서버가 세션을 유지할 필요 없음.
  • 크로스 도메인 인증: 인증 정보를 클라이언트에 저장할 수 있어 다양한 클라이언트에서 사용 가능.
  • 보안성: 자체적으로 암호화 및 서명 가능.

2. 환경설정

스프링 부트를 사용하기 위해 아래의 사항을 준비합니다.

2.1 개발 도구 설정

  1. Java Development Kit (JDK) 17 이상 설치
  2. 스프링 이니셜라이저를 통해 프로젝트 생성 (web, security, JPA, Lombok 의존성 추가)
  3. IDE (IntelliJ IDEA 또는 Eclipse) 설치

2.2 프로젝트 구조

src
├── main
│   ├── java
│   │   └── com
│   │       └── example
│   │           └── jwt
│   │               ├── JwtApplication.java
│   │               ├── controller
│   │               │   └── AuthController.java
│   │               ├── dto
│   │               │   └── AuthRequest.java
│   │               ├── security
│   │               │   ├── JwtRequestFilter.java
│   │               │   └── JwtUtil.java
│   │               └── service
│   │                   └── UserService.java
│   └── resources
│       └── application.properties
└── test

스프링 부트 백엔드 개발 강좌, JWT로 로그인 로그아웃 구현, 의존성 추가하기

안녕하세요! 이번 블로그 포스트에서는 스프링 부트를 활용한 백엔드 개발 과정에서 JSON Web Token(JWT)을 사용하여 로그인 및 로그아웃 기능을 구현하는 방법에 대해 자세히 알아보겠습니다. 웹 애플리케이션 개발에서 인증과 권한 부여는 중요한 요소이며, JWT는 이를 효과적으로 관리하는 데 도움을 줍니다. 본 강좌에서는 JWT의 개념, 스프링 부트 설정, 의존성 추가 방법 등을 단계별로 설명하겠습니다.

1. JWT란 무엇인가?

JWT는 JSON Web Token의 약자로, 사용자 인증 정보를 안전하게 전송하기 위한 표준입니다. JWT는 세 가지 부분으로 구성되어 있습니다:

  • Header: 토큰의 타입과 해싱 알고리즘 정보를 담고 있습니다.
  • Payload: 사용자 정보와 같은 클레임을 포함합니다. 이 클레임은 공개된 정보(API 호출 시 필요한 정보)를 포함할 수 있습니다.
  • Signature: 헤더와 페이로드 정보를 기반으로 비밀 키를 사용하여 서명합니다. 이는 데이터의 무결성을 보장하며, 누군가 토큰을 위조했는지를 확인하는 데 사용됩니다.

JWT의 가장 큰 장점은 스테이트리스(stateless) 특성을 가진다는 것입니다. 서버에서 세션 상태를 유지할 필요가 없기 때문에, 확장성과 성능이 뛰어납니다.

2. 스프링 부트 프로젝트 생성

스프링 부트를 사용하여 새로운 프로젝트를 생성합시다. 먼저, Spring Initializr(https://start.spring.io/)를 방문합니다. 아래의 설정을 적용하여 프로젝트를 생성합니다:

  • Project: Maven Project
  • Language: Java
  • Spring Boot: 2.6.0 (최신 버전 선택)
  • Group: com.example
  • Artifact: jwt-demo
  • Dependencies: Spring Web, Spring Security, Spring Data JPA, H2 Database

프로젝트를 생성한 후, IDE에서 해당 프로젝트를 열고 필요한 디렉토리 구조를 설정합니다.

3. 의존성 추가하기

먼저, pom.xml 파일에 필요한 의존성을 추가합니다:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jwt</artifactId>
    <version>0.9.1</version>
</dependency>

이외에도 스프링 시큐리티와 데이터 JPA는 이미 추가되어 있으므로 추가 의존성은 필요하지 않습니다. H2 데이터베이스는 개발과 테스트 환경에 유용하게 사용할 수 있습니다.

4. 스프링 시큐리티 설정

JWT를 사용하기 위해 스프링 시큐리티를 설정해야 합니다. 먼저 SecurityConfig 클래스를 생성합니다:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests().antMatchers("/api/auth/**").permitAll()
            .anyRequest().authenticated();
    }
}

위의 설정에서, 모든 사용자는 /api/auth/** 경로에 접근할 수 있습니다. 다른 모든 요청은 인증을 요구합니다.

5. JWT 생성 및 검증

JWT를 생성하고 검증하는 클래스를 작성합니다. 여기에 필요한 메서드를 정의합니다:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Service;

import java.util.Date;

@Service
public class JwtUtil {

    private String secretKey = "YourSecretKey"; // 비밀 키는 외부에 노출되지 않게 관리해야 합니다

    public String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10시간
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }

    public boolean validateToken(String token, String username) {
        final String extractedUsername = extractUsername(token);
        return (extractedUsername.equals(username) && !isExpired(token));
    }

    public String extractUsername(String token) {
        return extractAllClaims(token).getSubject();
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();
    }

    private boolean isExpired(String token) {
        return extractAllClaims(token).getExpiration().before(new Date());
    }
}

위의 JwtUtil 클래스는 토큰 생성, 유효성 검증 및 사용자 이름 추출을 위한 메서드를 포함하고 있습니다.

6. 인증 및 로그아웃 구현

이제 인증 및 로그아웃을 처리할 컨트롤러를 작성해보겠습니다. AuthController 클래스를 생성하세요:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public ResponseEntity login(@RequestBody AuthRequest authRequest) {
        // 사용자 인증 로직 추가
        String token = jwtUtil.generateToken(authRequest.getUsername());
        return ResponseEntity.ok(token);
    }

    @PostMapping("/logout")
    public ResponseEntity logout() {
        // JWT를 블랙리스트에 추가하는 등의 로직 추가
        return ResponseEntity.ok("로그아웃 성공");
    }
}

위의 코드에서 AuthRequest는 사용자 이름과 비밀번호를 담는 DTO 클래스이며, 사용자 인증 로직은 구체적으로 구현해야 합니다. 일반적으로는 데이터베이스에서 인증 정보를 확인합니다.

7. 최종 테스트

이제 모든 설정을 마쳤습니다. Postman과 같은 도구를 사용하여 API를 테스트할 수 있습니다:

  • 로그인: POST /api/auth/login
  • 로그아웃: POST /api/auth/logout

로그인 API의 요청 본문에서 사용자 이름과 비밀번호를 전달하면, 성공적으로 JWT를 반환받을 수 있습니다. 반환된 JWT는 이후 API 호출 시 Authorization 헤더에 포함하여 전달해야 합니다.

8. 마무리

스프링 부트를 사용한 JWT 기반의 로그인 및 로그아웃 기능 구현에 대해 알아보았습니다. 인증 및 권한 부여는 웹 애플리케이션 개발에서 중요한 부분이며, JWT는 이를 간편하고 안전하게 처리할 수 있도록 돕습니다. 추가 기능으로는 JWT 블랙리스트 처리, 리프레시 토큰 구현 등을 고려해볼 수 있습니다.

이번 강좌가 스프링 부트 백엔드 개발에 도움이 되었기를 바랍니다. 더 많은 정보와 자료는 공식 문서와 커뮤니티를 통해 확인할 수 있습니다. 감사합니다!

스프링 부트 백엔드 개발 강좌, JWT로 로그인 로그아웃 구현, 리프레시 토큰 도메인 구현하기

최근 몇 년간 마이크로서비스 아키텍처와 SPA(Single Page Application)가 점점 더 많은 인기를 끌면서, 웹 애플리케이션에서 보안 방안을 찾는 것이 매우 중요해졌습니다. 이 글에서는 스프링 부트를 활용해 JWT(JSON Web Token)를 이용한 로그인/로그아웃 기능과 리프레시 토큰을 사용하는 도메인을 구현하는 방법에 대해 자세히 설명하겠습니다.

목차

  1. 1. 서론
  2. 2. 스프링 부트란?
  3. 3. JWT란?
  4. 4. 개발 환경 설정
  5. 5. 로그인/로그아웃 기능 구현
  6. 6. 리프레시 토큰 구현
  7. 7. 결론

1. 서론

사용자 인증(authentication)과 인가(authorization)는 현대 웹 애플리케이션에서 중요한 문제입니다. 이러한 문제를 해결하기 위한 여러 가지 기술이 있지만, JWT는 그 중 가장 많이 사용되는 방법 중 하나입니다. 본 강좌에서는 스프링 부트를 활용하여 사용자 로그인 및 로그아웃 기능을 구축하고, JWT와 리프레시 토큰을 이용한 인증 메커니즘을 구현하는 방법을 배우게 됩니다.

2. 스프링 부트란?

스프링 부트(Spring Boot)는 스프링 프레임워크의 확장으로, Spring 기반의 애플리케이션을 쉽게 개발할 수 있도록 도와주는 편리한 도구입니다. 초기 설정이나 복잡한 XML 설정 없이 간단한 어노테이션으로 구현이 가능하여, 개발자들이 자주 사용하는 기능을 미리 구성해놓은 상태로 제공됩니다.

스프링 부트의 주요 특징은 다음과 같습니다:

  • 자체 내장 서버: 톰캣, 제티 등의 웹 서버를 포함하여, 별도의 서버 설치 없이 실행할 수 있습니다.
  • 자동 구성: 프로젝트에 포함된 라이브러리와 빈 설정에 따라 필요한 설정을 자동으로 구성합니다.
  • 쉬운 배포: Jar 파일로 패키징하여 쉽게 배포 가능하며, 클라우드 환경에서도 용이하게 사용할 수 있습니다.
  • 강력한 커뮤니티: 풍부한 문서와 예제, 다양한 플러그인으로 지원되는 큰 커뮤니티를 갖추고 있습니다.

3. JWT란?

JWT(JSON Web Token)는 주로 인증과 인가를 위한 솔루션으로 사용되는 compact, URL-safe means of representing claims to be transferred between two parties. 여기서 ‘claims’는 사용자에 대한 정보로, 이를 통해 서버와 클라이언트 간의 신뢰 관계를 유지할 수 있습니다.

JWT는 크게 세 부분으로 구성됩니다:

  1. Header: 토큰의 타입(typ)과 해싱 알고리즘(alg)의 정보가 포함됩니다.
  2. Payload: 사용자에 대한 정보와 클레임 데이터를 포함합니다. 여기서는 사용자 ID, 권한 등의 정보가 들어갑니다.
  3. Signature: Header와 Payload를 조합한 후, 비밀키를 사용해 서명합니다. 이로써 토큰의 무결성과 진위를 보장할 수 있습니다.

JWT의 장점으로는 다음과 같은 것들이 있습니다:

  • 무상태적 특징: 서버는 JWT를 변조할 수 없으므로 상태를 유지하지 않고, 인증이 필요할 때마다 클라이언트가 JWT를 전송합니다.
  • 보안성: 클라이언트가 JWT를 보유하므로 서버의 데이터베이스를 조회할 필요가 없어, 데이터베이스의 부하를 줄일 수 있습니다.
  • CRUD 작업의 단순화: 인증 정보와 상태를 쉽게 관리할 수 있으며, IAM(Identity and access management)과 같은 복잡한 로직을 단순화할 수 있습니다.

4. 개발 환경 설정

이제 스프링 부트를 이용한 프로젝트를 위한 개발 환경을 설정해보겠습니다. 이를 위해 다음과 같은 도구를 사용합니다:

  • Java 11: JDK 11 이상을 설치합니다.
  • IDE: IntelliJ IDEA 또는 Eclipse를 사용하는 것이 좋습니다.
  • Gradle 또는 Maven: 의존성 관리를 위해 Gradle 또는 Maven을 선택합니다.
  • Postman: API 테스트 도구로 Postman을 이용합니다.

프로젝트를 생성할 때는 Spring Initializr(start.spring.io)를 통해 기본 설정을 해줄 수 있습니다. 필요한 의존성으로는 다음과 같은 것들을 추가합니다:

  • Spring Web
  • Spring Security
  • Spring Data JPA
  • H2 Database (또는 여러분이 선택한 RDBMS)
  • Spring Boot DevTools (개발 편의를 위한 도구)
  • jjwt (Java JWT 라이브러리)

프로젝트 생성 후 Viewer, Controller, Service, Repository 등 필요한 클래스를 생성합니다. `application.yml` 파일에 데이터베이스 관련 설정을 추가해야 합니다.

5. 로그인/로그아웃 기능 구현

로그인 및 로그아웃 기능을 구현하기 위해 다음의 구성 요소가 필요합니다:

5.1. User Entity

사용자 정보를 저장하기 위해 User 엔티티를 생성합니다.


@Entity
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    private String username;
    private String password;
    private String role;

    // Getter, Setter, Constructor
}

5.2. User Repository

User 엔티티에 대한 CRUD 작업을 수행할 UserRepository를 생성합니다.


@Repository
public interface UserRepository extends JpaRepository {
    Optional findByUsername(String username);
}

5.3. User Service

사용자 등록 및 인증 로직을 구현하기 위한 UserService를 생성합니다.


@Service
public class UserService {
    @Autowired
    private UserRepository userRepository;

    public User register(User user) {
        // 여기에 비밀번호 암호화 로직을 추가하고 사용자 정보를 저장합니다.
    }

    public Optional findByUsername(String username) {
        return userRepository.findByUsername(username);
    }
}

5.4. Security Configuration

스프링 시큐리티를 설정하여 JWT 인증을 수행할 수 있도록 합니다.


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // 사용자 인증 및 보안 관련 설정을 정의합니다.
}

5.5. JWT Utility 클래스

JWT를 생성하고 검증하는 역할을 하는 JWTUtil 클래스를 작성합니다.


@Component
public class JwtUtil {
    private String secretKey = "yourSecretKey"; // 비밀키를 안전하게 관리해야 합니다.

    public String generateToken(String username) {
        // JWT 생성 로직 구현
    }

    public boolean validateToken(String token, String username) {
        // JWT 유효성 검사
    }
}

5.6. Authentication Controller

API 엔드포인트를 정의하여 로그인 및 로그아웃 기능을 제공합니다.


@RestController
@RequestMapping("/api/auth")
public class AuthController {
    @Autowired
    private UserService userService;

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public ResponseEntity<String> login(@RequestBody UserCredentials userCredentials) {
        // 로그인 로직
    }

    @PostMapping("/logout")
    public ResponseEntity<String> logout() {
        // 로그아웃 로직
    }
}

6. 리프레시 토큰 구현

리프레시 토큰은 액세스 토큰과 별도로 사용되며, 사용자가 계속해서 로그인 상태를 유지하도록 도와줍니다. 리프레시 토큰을 구현하기 위해 다음과 같은 단계를 수행합니다:

6.1. Refresh Token Entity

새로운 엔티티를 생성하여 리프레시 토큰을 관리합니다.


@Entity
public class RefreshToken {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    private String token;

    @ManyToOne
    private User user;

    private LocalDateTime expiryDate;

    // Getter, Setter, Constructor
}

6.2. RefreshToken Repository

리프레시 토큰에 대한 CRUD 작업을 수행하기 위한 리포지토리를 생성합니다.


@Repository
public interface RefreshTokenRepository extends JpaRepository<RefreshToken, Long> {
    Optional<RefreshToken> findByToken(String token);
}

6.3. Refresh Token Service

리프레시 토큰의 생성을 관리하는 서비스를 생성합니다.


@Service
public class RefreshTokenService {
    @Autowired
    private RefreshTokenRepository refreshTokenRepository;

    public RefreshToken createRefreshToken(User user) {
        // 새로운 리프레시 토큰 생성 로직
    }

    public boolean validateRefreshToken(String token) {
        // 리프레시 토큰 유효성 검사
    }
}

6.4. Refresh Token Controller

리프레시 토큰을 이용하여 새로운 액세스 토큰을 생성하는 API를 추가합니다.


@RestController
@RequestMapping("/api/auth")
public class AuthController {
    @Autowired
    private RefreshTokenService refreshTokenService;

    @PostMapping("/refresh-token")
    public ResponseEntity<String> refreshToken(@RequestBody String refreshToken) {
        // 리프레시 토큰을 이용한 새로운 액세스 토큰 생성 로직
    }
}

7. 결론

이 강좌에서는 스프링 부트를 활용하여 JWT 기반의 로그인/로그아웃 기능을 구현하고, 추가적으로 리프레시 토큰을 이용하여 액세스 토큰을 관리하는 방법을 살펴보았습니다. 이런 방식으로 구현한 인증 시스템은 더욱 안전하고 유연하게 다양한 클라이언트 요청을 처리할 수 있습니다.

이제 여러분의 애플리케이션에서 JWT와 리프레시 토큰을 구현하여 보다 향상된 사용자 경험을 제공할 수 있게 될 것입니다. 더 나아가 이 기술을 활용해 다양한 추가적인 보안 기법들과 통합할 수 있습니다. 앞으로의 발전을 기대합니다!