인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

Inflearn Community Q&A

권민재's profile image
권민재

asked

Spring MVC Part 2 - Backend Web Development Utilization Technology

토큰 인증 방식에 대해 질문이 있습니다.

Written on

·

618

·

Edited

0

안녕하세요. 선생님의 수업을 보고 좀 더 응용해 보고 싶은 부분이 있어 구현하는 과정에 궁금증이 생겼습니다.
주변에 물어볼 사람이 없어서 수업 내용과 거리가 있는 감이 있음에도 여기에 질문하게 됐습니다.

주 목표

세션 방식의 인증에서 토큰 방식 인증으로 바꾸기

하려는 이유

대규모 프로젝트에선 세션보단 토큰 방식이 더 효과적이기 때문에 이를 미리 해보고 싶어서

구현 목표

  1. 구글, 네이버 같은 소셜 로그인이 성공하면 access, refresh 토큰을 만들어 DB에 저장

  2. 해당 토큰들을 jwt로 만들고, XSS 공격에 토큰이 탈취되는 걸 대비하기 위해 http-only 쿠키로 전달
    jwt를 사용한 이유는 access 토큰의 expire 확인 같은 경우, DB를 거치는 것보단 서버 쪽에서 확인을 하는 것이 더 낫다고 생각했습니다.

토큰 검증 과정

expire된 토큰이라면 DB에서 해당 access 토큰을 가지는 refresh 토큰을 가져와 일치한다면 기간이 만료된 토큰으로 간주하고 새로운 access 토큰을 발급하는 방향으로 생각하고 있습니다.
로그아웃을 할 땐 해당 토큰 정보를 테이블에서 삭제하려고 합니다.

현재 구현된 것

  • 현재 유저와 토큰 도메인을 나눠서 관리하고 있고, 토큰 도메인은 유저 id를 외래 키로 가지고 있습니다.

  • oauth2-client dependency를 사용해 소셜 로그인이 성공하면 관련 서비스를 호출해 유저 정보를 저장, 갱신하는 것을 구현했습니다.

  • 성공 후, successHandler를 통해 사용자에게 토큰 정보를 http-only 쿠키로 보내주려고 합니다. (handler 틀만 구현)

궁금한 점

jwt에 사용자 정보를 어디까지 담아야 하는지 모르겠습니다.

jwt 공식 사이트의 설명을 보면 민감한 정보는 담지 말라고 적혀있기 때문에 토큰 값만 담아서 전달하려고 합니다.

하지만, 이렇게 되면 유효한 토큰을 가지고 있더라도 전달한 사용자가 진짜 토큰의 주인인지 판단하는 게 어렵다고 생각했습니다.
유효한 토큰이기만 하면 다른 계정이 해당 토큰을 사용해도 인증이 될 것이라고 생각합니다.

여기에 관해 검색한 키워드들입니다.

  • spring boot oauth 2.0 jwt auth best practices

  • spring boot oauth2 authenication

  • user table auth table schema

  • spring boot security context

관련 글들이 많았지만, 제가 본 글들은 대부분 jwt 토큰에 사용자 정보를 담아서 보내주고, 이 값들로 db에 매칭하는 식인 예제를 목적으로 만든 코드였습니다.

종합한 결과, 인증 방식에 정론은 없지만, 제가 생각한 방식이 조금 동떨어져 있나란 생각이 들었습니다.

혹시 현업에서는 이런 토큰 인증 방식을 어떻게 구현하는지에 대한 방향이라도 알고 싶습니다.
여기서 설명하는게 어렵다면, 키워드라도 알려주시면 좀 더 찾아보고 노력하겠습니다.

긴 글 읽어주셔서 감사합니다.

 

springMVC

Answer 1

2

yh님의 프로필 이미지
yh
Instructor

안녕하세요. 권민재님

JWT 토큰안에 사용자ID와 같은 값은 당연히 들어있어야 합니다.

여기서 민감한 정보라는 것은 개인정보나 신용카드 번호 같은 것들을 뜻합니다.

감사합니다.

권민재님의 프로필 이미지
권민재
Questioner

아 생각보다 되게 간단한 문제였군요... 감사합니다!

권민재's profile image
권민재

asked

Ask a question