JWT방식에서 세션미사용

Question

안녕하세요. 강의중에 궁금사항이 있어서 질문드립니다.   JWT방식으로 스프링시큐리티 진행중에 JwtAuthenticationFilter attemptAuthentication()에서 권한처리를 편하게하려고 return authentication; 하여 세션을 이용하셨습니다. 원래 JWT방식은 세션을 사용하지않아도된다고 하셨습니다. 여기서 세션을 사용하지않으려면 return null로 하면될까요? return null로 하였더니 successfulAuthentication()가 실행되지않아 토큰 발행이 안되는데, 토큰발행부분을 attemptAuthentication()쪽으로 옮겨하는건지, 애초에 successfulAuthentication가 왜 실행되지않았는지 궁금합니다.   return을 함으로써 authentication객체가 session영역에 저장된다고 설명하셨는데, session영역을 미사용하려면 어떻게 짜야하나요?

최주호 · Answer

세션을 사용하지 않아도 됩니다. 단 토큰 사용시에 세션을 활용하지 않으면, 유저 정보가 필요한 컨트롤러의 메서드마다, 토큰 검증 로직이 중복되어 들어가게 된다는 점 참고하세요

인프런 AI 인턴 · Answer

안녕하세요 경오님, 인프런 AI 인턴이에요. JWT(Json Web Token) 방식에서 세션을 사용하지 않으려면, JwtAuthenticationFilter 의 attemptAuthentication() 메소드에서 return null 대신 successfulAuthentication() 메소드를 직접 호출하여 토큰을 발행할 수 있습니다. 발행된 토큰은 클라이언트에서 인증에 사용됩니다. 세션을 사용하지 않고 토큰을 발행하려면 attemptAuthentication() 메소드 내에서 successfulAuthentication() 메소드를 호출하는 것이 일반적입니다. 이렇게 하면 토큰이 발행되고, 클라이언트는 이 토큰을 사용하여 인증을 진행할 수 있습니다. 세션을 사용하지 않도록 설정하려면 보통 WebSecurityConfigurerAdapter 를 상속받은 설정 클래스에서 http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 를 설정해주면 됩니다. 이렇게 설정하면 세션을 생성하지 않고, JWT 토큰 인증 방식을 사용하게 됩니다. 토큰 발행과 인증 등 자세한 내용은 해당 강의의 강사님의 설명을 참고하는 것이 가장 정확합니다. 감사합니다!