-
질문 & 답변
카테고리
-
해결 여부
미해결
소셜 accessToken 검증
23.09.26 15:30 작성 조회수 513
0
현재 일반 로그인과 소셜 로그인(구글, 네이버)을 구현하려고 하는데 일반 로그인 부분은 해결했지만
막힌 부분이 소셜 로그인을 했을 때 제가 알기로는 프론트에서 받아서 헤더에 담아서 서버(스프링부트)에 보내주면 그거를 검증하고 인증받아야 SecurityContextHoder에 넣으면 컨트롤러에서 정보를 가지고 올 수 있는 것으로 알고 있습니다.
구현하려는 방식
(프론트) 소셜 로그인 → (프론트) 헤더에 소셜 accessToken을 서버로 보내준다. → (백엔드) 받고 검증해준다. → (백엔드) 통과 시 SecurityContextHolder.getContext().setAuthentication()에 넣어준다. → 컨트롤러에서 정보를 빼와서 JWT를 만들어서 프론트한테 반환 → 프론트가 뭔가 처리할 때 헤더에 별도로 만든 accessToken 보내준다.
코드
SpringSecurity
http
// JWT를 위한 Filter를 아래에서 만들어 줄건데
// 이 Filter를 어느위치에서 사용하겠다고 등록을 해주어야 Filter가 작동이 됩니다.
// JWT를 검증하기 위한 JwtSecurityConfig를 적용하고
// jwtProvider를 사용하여 JWT 검증을 수행합니다.
.apply(new JwtSecurityConfig(
jwtProvider,
googleOAuth2UserService,
clientRegistration(),
naverOAuth2UserService));
// OAuth2
http
// oauth2Login() 메서드는 OAuth 2.0 프로토콜을 사용하여 소셜 로그인을 처리하는 기능을 제공합니다.
.oauth2Login()
.clientRegistrationRepository(clientRegistrationRepository())
// OAuth2 로그인 성공 이후 사용자 정보를 가져올 때 설정 담당
.userInfoEndpoint()
// OAuth2 로그인 성공 시, 후작업을 진행할 서비스
.userService(principalOauth2UserService);JwtSecurityConfig
일반 로그인 시 발급받은 JWT를 검증하는 곳과 소셜 로그인 accessToken을 검증하는 곳을 나눠서 실행
public class JwtSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
private final JwtProvider jwtProvider;
private final GoogleOAuth2UserService googleOAuth2UserService;
// OAuth2 클라이언트 등록 정보가 포함된 객체
private final ClientRegistration clientRegistration;
private final NaverOAuth2UserService naverOAuth2UserService;
public JwtSecurityConfig(JwtProvider jwtProvider,
GoogleOAuth2UserService googleOAuth2UserService,
ClientRegistration clientRegistration,
NaverOAuth2UserService naverOAuth2UserService) {
this.jwtProvider = jwtProvider;
this.googleOAuth2UserService = googleOAuth2UserService;
this.clientRegistration = clientRegistration;
this.naverOAuth2UserService = naverOAuth2UserService;
}
@Override
public void configure(HttpSecurity builder) throws Exception {
// JwtAuthenticationFilter가 일반 로그인에 대한 토큰 검증을 처리
// JwtAuthenticationFilter는 Jwt 토큰을 사용하여 사용자의 인증을 처리하는 필터
// 이 필터는 일반 로그인 요청에서 Jwt 토큰을 검증하고 사용자를 인증합니다.
// 이 필터를 UsernamePasswordAuthenticationFilter 앞에 추가하여 Jwt 토큰 검증을 먼저 수행하도록 합니다.
JwtAuthenticationFilter customFilter = new JwtAuthenticationFilter(jwtProvider);
builder.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
// OAuth2 프로바이더(Google 또는 Naver)로부터 제공된 OAuth2 토큰을 사용하여 사용자를 인증하는 역할을 합니다.
// 이 필터를 JwtAuthenticationFilter 앞에 추가하여 Jwt 토큰 검증 후 OAuth2 토큰 인증을 수행하도록 합니다.
builder.addFilterBefore(
new OAuth2TokenAuthentication(
googleOAuth2UserService,
clientRegistration,
naverOAuth2UserService), JwtAuthenticationFilter.class);
}
}JwtAuthenticationFilter
@Log4j2
@RequiredArgsConstructor
public class JwtAuthenticationFilter extends OncePerRequestFilter {
public static final String HEADER_AUTHORIZATION = "Authorization";
private final JwtProvider jwtProvider;
// doFilter는 토큰을 검증하고
// 토큰의 인증정보를 SecurityContext에 담아주는 역할을 한다.
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
// request header에서 JWT를 추출
// 요청 헤더에서 JWT 토큰을 추출하는 역할
String jwt = resovleToken(httpServletRequest);
log.info("jwt in JwtAuthenticationFilter : " + jwt);
// 어떤 경로로 요청을 했는지 보여줌
String requestURI = httpServletRequest.getRequestURI();
log.info("uri JwtAuthenticationFilter : " + requestURI);
if (StringUtils.hasText(jwt) && jwtProvider.validateToken(jwt)) {
try {
Authentication authentication = jwtProvider.getAuthentication(jwt);
log.info("authentication in JwtAuthenticationFilter : " + authentication);
// Spring Security의 SecurityContextHolder를 사용하여 현재 인증 정보를 설정합니다.
// 이를 통해 현재 사용자가 인증된 상태로 처리됩니다.
// 위에서 jwtProvider.getAuthentication(jwt)가 반환이 UsernamePasswordAuthenticationToken로
// SecurityContext에 저장이 되는데 SecurityContextHolder.getContext().setAuthentication(authentication);
// 처리를 하는 이유는 다음과 같다.
/*
* 1. 인증 정보 검증: JWT 토큰이나 다른 인증 정보를 사용하여 사용자를 식별하고
* 권한을 확인하기 위해서는 토큰을 해독하여 사용자 정보와 권한 정보를 추출해야 합니다.
* 이 역할은 jwtProvider.getAuthentication(jwt)에서 수행됩니다.
* 이 메서드는 JWT 토큰을 분석하여 사용자 정보와 권한 정보를 추출하고, 해당 정보로 인증 객체를 생성합니다.
*
* 2. 인증 정보 저장:
* 검증된 인증 객체를 SecurityContextHolder.getContext().setAuthentication(authentication);를
* 사용하여 SecurityContext에 저장하는 이유는, Spring Security에서 현재 사용자의 인증 정보를
* 전역적으로 사용할 수 있도록 하기 위함입니다. 이렇게 하면 다른 부분에서도 현재 사용자의 인증 정보를 사용할 수 있게 되며,
* Spring Security가 제공하는 @AuthenticationPrincipal 어노테이션을 통해 현재 사용자 정보를 편리하게 가져올 수 있습니다.
* */
SecurityContextHolder.getContext().setAuthentication(authentication);
} catch (Exception e) {
throw new RuntimeException("잘못된 형식의 JWT입니다.");
}
}
filterChain.doFilter(request, response);
}
// 토큰을 가져오기 위한 메소드
// Authorization로 정의된 헤더 이름을 사용하여 토큰을 찾고
// 토큰이 "Bearer "로 시작하거나 "Bearer "로 안온 것도 토큰 반환
private String resovleToken(HttpServletRequest httpServletRequest) {
String token = httpServletRequest.getHeader(HEADER_AUTHORIZATION);
log.info("token : " + token);
if (StringUtils.hasText(token) && token.startsWith("Bearer ")) {
return token.substring(7);
} else if (StringUtils.hasText(token)) {
return token;
} else {
return null;
}
}OAuth2TokenAuthentication
package com.example.social.config.oauth2;
import com.example.social.config.oauth2.verifirer.GoogleOAuth2UserService;
import com.example.social.config.oauth2.verifirer.NaverOAuth2UserService;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import lombok.RequiredArgsConstructor;
import lombok.extern.log4j.Log4j2;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.client.authentication.OAuth2AuthenticationToken;
import org.springframework.security.oauth2.client.registration.ClientRegistration;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.core.OAuth2AccessToken;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Log4j2
@RequiredArgsConstructor
public class OAuth2TokenAuthentication extends OncePerRequestFilter {
public static final String HEADER_AUTHORIZATION = "Authorization";
private final GoogleOAuth2UserService googleOAuth2UserService;
private final ClientRegistration clientRegistration;
private final NaverOAuth2UserService naverOAuth2UserService;
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
String jwt = resovleToken(httpServletRequest);
String getIssuer = checkToken(jwt);
if ("https://accounts.google.com".equals(getIssuer)) {
// Google에서 발급한 토큰을 기반으로 OAuth2AccessToken 객체를 생성합니다.
// 이 객체는 토큰의 타입, 값, 발급 시간 및 만료 시간과 같은 정보를 포함합니다.
OAuth2AccessToken accessToken = new OAuth2AccessToken(
// 토큰 타입
OAuth2AccessToken.TokenType.BEARER,
// 토큰 값
jwt,
// 발급 시간
null,
// 만료 시간
null);
// OAuth2UserRequest 생성
// 이 객체는 클라이언트 등록 정보와 OAuth2AccessToken 객체를 포함하여
// OAuth 2.0 사용자 정보 요청에 필요한 정보를 제공합니다.
OAuth2UserRequest userRequest = new OAuth2UserRequest(
// ClientRegistration 객체
clientRegistration,
// OAuth2AccessToken 객체
accessToken);
// googleOAuth2UserService를 사용하여 사용자 정보를 검증하고 OAuth2User 객체를 얻어옵니다.
OAuth2User oAuth2User = googleOAuth2UserService.loadUser(userRequest);
// SecurityContextHolder에 인증 정보 설정
// 검증된 사용자 정보를 기반으로 OAuth2AuthenticationToken을 생성합니다.
// 이 토큰은 Spring Security에서 사용되며, 사용자 정보와 사용자의 권한을 포함합니다.
Authentication authentication = new OAuth2AuthenticationToken(
oAuth2User,
oAuth2User.getAuthorities(),
// registrationId
"google");
// SecurityContextHolder에 인증 정보 설정
SecurityContextHolder.getContext().setAuthentication(authentication);
}
if ("https://api.naver.com".equals(getIssuer)) {
// 다른 발급자 (Google이 아닌) 경우
// 네이버로부터 받은 토큰을 OAuth2AccessToken 객체로 생성합니다.
// 이 객체는 토큰의 타입, 값, 발급 시간 및 만료 시간 등을 포함합니다.
// 이 정보는 OAuth2 인증을 수행하는 데 사용됩니다.
OAuth2AccessToken naverAccessToken = new OAuth2AccessToken(
OAuth2AccessToken.TokenType.BEARER,
jwt,
null,
null);
// 네이버 OAuth2 클라이언트 등록 정보와 받은 토큰을 사용하여 OAuth2 사용자 정보 요청을 만듭니다.
// 이 요청은 네이버로부터 사용자 정보를 가져오는 데 사용됩니다.
OAuth2UserRequest naverUserRequest = new OAuth2UserRequest(
clientRegistration,
naverAccessToken);
// 네아로 API를 사용하여 사용자 정보 가져오기
// 이것은 네이버 API를 호출하고 사용자 정보를 가져오는 로직이 포함된 서비스입니다.
OAuth2User naverUser = naverOAuth2UserService.loadUser(naverUserRequest);
// 네이버에서 가져온 사용자 정보를 기반으로 Authentication 객체 생성
// 네이버로부터 가져온 사용자 정보를 기반으로 OAuth2 인증 토큰을 생성합니다.
// 이 토큰은 Spring Security에서 사용되며 사용자 정보와 사용자의 권한을 포함합니다.
// 여기서 "naver"는 등록 ID로 지정되며, 네이버와 관련된 토큰임을 나타냅니다.
Authentication naverAuthentication = new OAuth2AuthenticationToken(
naverUser,
naverUser.getAuthorities(),
// registrationId
"naver");
// 네이버 Authentication 객체를 SecurityContext에 저장
SecurityContextHolder.getContext().setAuthentication(naverAuthentication);
}
}
// 토큰을 가져오기 위한 메소드
// Authorization로 정의된 헤더 이름을 사용하여 토큰을 찾고
// 토큰이 "Bearer "로 시작하거나 "Bearer "로 안온 것도 토큰 반환
private String resovleToken(HttpServletRequest httpServletRequest) {
String token = httpServletRequest.getHeader(HEADER_AUTHORIZATION);
log.info("token : " + token);
if (StringUtils.hasText(token) && token.startsWith("Bearer ")) {
return token.substring(7);
} else if (StringUtils.hasText(token)) {
return token;
} else {
return null;
}
}
private String checkToken(String token) {
try {
JwtParser parser = Jwts.parserBuilder().build();
// 주어진 토큰을 디코딩하여 JWT 클레임을 추출합니다.
// 이 클레임에는 토큰에 대한 정보가 포함되어 있으며,
// 이 코드에서는 클레임에서 발급자(issuer) 정보를 확인하기 위해 사용합니다.
Claims claims = parser.parseClaimsJws(token).getBody();
// iss 클레임을 확인하여 Google 발급 토큰 여부를 판별
String issuer = (String) claims.get("iss");
log.info("issuer : " + issuer);
return issuer;
} catch (Exception e) {
// 예외 처리: JWT 디코딩 실패 시 처리할 내용을 여기에 추가
log.error("JWT 디코딩 실패: " + e.getMessage(), e);
throw new RuntimeException("JWT 디코딩 실패: " + e.getMessage(), e);
}
}
}GoogleOAuth2UserService
package com.example.social.config.oauth2.verifirer;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
import com.google.api.client.http.HttpTransport;
import com.google.api.client.http.javanet.NetHttpTransport;
import com.google.api.client.json.JsonFactory;
import com.google.api.client.json.jackson2.JacksonFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserService;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.DefaultOAuth2User;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.security.oauth2.core.user.OAuth2UserAuthority;
import org.springframework.stereotype.Service;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;
import java.util.HashMap;
import java.util.Map;
@Service
public class GoogleOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> {
@Value("${spring.security.oauth2.client.registration.google.client-id}")
private String googleClientId;
private final HttpTransport httpTransport = new NetHttpTransport();
private final JsonFactory jsonFactory = new JacksonFactory();
@Override
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
String accessToken = userRequest.getAccessToken().getTokenValue();
// Google API 클라이언트 라이브러리를 사용하여 accessToken을 검증
// GoogleIdTokenVerifier는 Google API의 ID 토큰을 검증하기 위한 도구입니다.
// Google의 OAuth 2.0 서비스를 통해 발급된 ID 토큰의 유효성을 확인하고,
// 해당 토큰이 애플리케이션의 클라이언트 ID에 대한 것인지 확인하는 역할을 합니다.
// httpTransport: HTTP 통신을 처리하는 라이브러리를 지정하는 부분입니다.
// Google API와 통신하기 위해 사용하는 HTTP 트랜스포트 라이브러리를 설정합니다.
// jsonFactory: JSON 데이터를 파싱하고 생성하는 데 사용되는 라이브러리를 지정하는 부분입니다.
// Google API와 통신할 때 JSON 형식의 데이터를 처리하는 데 사용됩니다.
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(httpTransport, jsonFactory)
// 이 부분에서는 검증할 ID 토큰의 대상(audience)을 설정합니다.
// 여기서는 Google API 클라이언트 ID를 대상으로 설정하고 있으며,
// 이것은 해당 ID 토큰이 특정 클라이언트(여기서는 구글 클라이언트)에 대한 것임을 나타냅니다.
.setAudience(Collections.singletonList(googleClientId))
.build();
GoogleIdToken idToken;
try {
// Google의 ID 토큰 검증기(GoogleIdTokenVerifier)를 사용하여
// 주어진 액세스 토큰(accessToken)을 검증하는 작업을 수행합니다.
idToken = verifier.verify(accessToken);
} catch (GeneralSecurityException e) {
throw new RuntimeException(e);
} catch (IOException e) {
throw new RuntimeException(e);
}
if(idToken != null) {
// Google ID 토큰(idToken)에서 클레임(claims)을 추출하기 위해
// idToken 객체에서 Payload를 얻어옵니다. 토큰의 페이로드는 토큰에 포함된 클레임 정보를 담고 있습니다.
Payload payload = idToken.getPayload();
// 사용자 정보를 저장할 attributes 맵을 생성합니다.
// 이 맵에는 사용자의 이름, 이메일, 서브젝트(sub), 그리고 권한 정보가 포함될 것입니다.
Map<String, Object> attributes = new HashMap<>();
// 사용자 정보를 추출하고 OAuth2User 객체로 변환
// 페이로드에서 이름(사용자의 실제 이름)을 추출
attributes.put("name", payload.get("name"));
// 페이로드에서 이메일을 추출
attributes.put("email", payload.getEmail());
// 페이로드에서 서브젝트(sub) 정보를 추출
attributes.put("sub", payload.getSubject());
// 사용자에게 ROLE_USER 권한을 부여하기 위해 attributes 맵에 권한 정보를 추가합니다.
attributes.put("auth", new SimpleGrantedAuthority("ROLE_USER"));
// DefaultOAuth2User는 Spring Security에서 OAuth 2.0 사용자를 나타내는 구현 클래스입니다.
// 이 객체는 사용자의 인증 정보와 권한 정보를 가지고 있습니다.
return new DefaultOAuth2User(
Collections.singleton(new OAuth2UserAuthority(attributes)),
attributes,
"sub"
);
} else {
throw new OAuth2AuthenticationException("Google AccessToken verification failed");
}
}
}NaverOAuth2UserService
package com.example.social.config.oauth2.verifirer;
import org.springframework.context.annotation.Lazy;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.client.registration.ClientRegistration;
import org.springframework.security.oauth2.client.registration.ClientRegistrationRepository;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.DefaultOAuth2User;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;
import org.springframework.util.LinkedMultiValueMap;
import org.springframework.util.MultiValueMap;
import org.springframework.web.client.RestTemplate;
import java.util.Collections;
import java.util.Map;
@Service
public class NaverOAuth2UserService {
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
String accessToken = userRequest.getAccessToken().getTokenValue();
// 네이버 API 엔드포인트 URL
String naverApiUrl = "https://openapi.naver.com/v1/nid/me";
// 네이버 API 호출을 위한 HTTP 헤더 설정
HttpHeaders headers = new HttpHeaders();
// headers 객체의 setContentType 메서드를 사용하여 요청의 Content-Type 헤더를 설정합니다.
// MediaType.APPLICATION_FORM_URLENCODED는 HTTP 요청 본문이 폼 데이터로 인코딩되어 있다는 것을 나타냅니다.
// 이러한 형태의 요청은 주로 HTML 폼 데이터를 서버로 제출할 때 사용됩니다.
headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
// Authorization 헤더를 설정합니다. 이 헤더는 HTTP 요청에 인증 정보를 포함하는 데 사용됩니다.
// 여기서 "Bearer " + accessToken는 OAuth 2.0 인증 프로토콜을 사용하여
// 보호된 리소스에 액세스하기 위한 액세스 토큰을 Bearer 스타일로 설정하는 것을 나타냅니다.
// Bearer는 토큰의 타입을 나타내며, 액세스 토큰의 실제 값을 나타냅니다.
// 이렇게 설정된 Authorization 헤더를 통해 서버는 요청이 인증되었음을 확인하고,
// 해당 액세스 토큰의 유효성을 검증할 수 있습니다.
headers.set("Authorization", "Bearer " + accessToken);
// 네이버 API 호출을 위한 요청 파라미터 설정
// MultiValueMap은 HTTP 요청 본문의 데이터를 표현하기 위한 자료 구조입니다.
// 네이버 API 호출 시 요청 본문에 보낼 데이터를 설정하기 위해 body라는 MultiValueMap 객체를 생성합니다.
// 이 데이터는 폼 데이터 형식으로 API 서버로 전송될 것입니다.
MultiValueMap<String, String> body = new LinkedMultiValueMap<>();
// 네이버 API 호출
// RestTemplate은 Spring Framework에서 제공하는
// HTTP 요청을 보내고 응답을 받는 데 사용되는 클라이언트 라이브러리입니다.
RestTemplate restTemplate = new RestTemplate();
// RestTemplate을 사용하여 네이버 API를 호출하고 응답을 받습니다.
// naverApiUrl: 네이버 API의 엔드포인트 URL을 나타냅니다.
// 이 URL은 네이버 API의 특정 엔드포인트에 요청을 보내기 위해 사용됩니다.
// body 객체가 요청 본문에 담길 것입니다.
// API 응답을 받을 데이터 유형을 지정합니다.
// 여기서는 API 응답을 Map 형태로 받을 것이며, 이 Map에는 API 응답의 JSON 데이터가 매핑됩니다.
Map<String, Object> naverApiResult = restTemplate.patchForObject(naverApiUrl, body, Map.class);
// 네이버 API 응답을 파싱하여 사용자 정보 추출
// naverApiResult라는 Map에서 "id" 키에 해당하는 값을 추출합니다.
// 이 값은 네이버 사용자의 고유 식별자인 사용자 ID를 나타냅니다.
String naverUserId = (String) naverApiResult.get("id");
String naverUserEmail = (String) naverApiResult.get("email");
String naverUserName = (String) naverApiResult.get("name");
// 추출한 사용자 정보로 OAuth2User 객체 생성
// 이객체는 Spring Security OAuth2에서 사용자 정보를 나타내는 데 사용됩니다.
OAuth2User naverUser = new DefaultOAuth2User(
// 사용자에게 부여할 권한을 설정합니다.
Collections.singleton(new SimpleGrantedAuthority("ROLE_USER")),
// 사용자의 고유 식별자인 네이버 사용자 ID를 "naverUserId"라는 키와 함께 맵 형태로 저장합니다.
Collections.singletonMap("naverUserId", naverUserId),
// OAuth2User의 이름을 지정합니다. 이것은 OAuth2User 객체 내에서 사용됩니다.
"naverUserId"
);
// 이메일 정보 추가
// 생성한 OAuth2User 객체에서 추가 정보를 설정합니다.
// 이 경우, "naverUserEmail" 키를 사용하여 네이버 사용자의 이메일 정보를 맵에 추가합니다.
((DefaultOAuth2User) naverUser).getAttributes().put("naverUserEmail", naverUserEmail);
// 이렇게 생성된 naverUser 객체에는 사용자의 권한과 사용자 ID, 그리고 이메일 정보가 포함되어 있습니다.
// 이 객체는 사용자 인증 후에 Spring Security의 SecurityContextHolder에
// 저장되어 사용자 정보를 유지하고 제공합니다.
return naverUser;
}
}controller
@GetMapping("/success-oauth")
public ResponseEntity<?> oauth2Token(@AuthenticationPrincipal OAuth2User oAuth2User) {
log.info("oAuth2User : " + oAuth2User);
String name = oAuth2User.getName();
log.info("name :" + name);
ResponseEntity<?> tokenForOAuth2 = memberService.createTokenForOAuth2(name);
return ResponseEntity.ok().body(tokenForOAuth2);
}PrincipalOauth2UserService
소셜 로그인 버튼을 누르고 성공하면 바로 소셜 로그인 유저 정보와 바로 가입할 수 있도록 구현
package com.example.social.config.oauth2;
import com.example.social.config.auth.PrincipalDetails;
import com.example.social.config.oauth2.provider.GoogleUserInfo;
import com.example.social.config.oauth2.provider.NaverUserInfo;
import com.example.social.config.oauth2.provider.OAuth2UserInfo;
import com.example.social.domain.Role;
import com.example.social.entity.MemberEntity;
import com.example.social.repository.MemberRepository;
import lombok.RequiredArgsConstructor;
import lombok.extern.log4j.Log4j2;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;
import java.util.Map;
// 소셜 로그인하면 사용자 정보를 가지고 온다.
// 가져온 정보와 PrincipalDetails 객체를 생성합니다.
@Service
@Log4j2
@RequiredArgsConstructor
public class PrincipalOauth2UserService extends DefaultOAuth2UserService {
private final MemberRepository memberRepository;
private final BCryptPasswordEncoder bCryptPasswordEncoder;
@Override
// loadUser 함수 : userRequest 정보로 loadUser 함수를 이용하여 회원 프로필을 받는다.
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
// registrationId로 어떤 OAuth로 로그인 했는지 확인가능
log.info("clientRegistration in PrincipalOauth2UserService : " + userRequest.getClientRegistration());
log.info("accessToken in PrincipalOauth2UserService : " + userRequest.getAccessToken().getTokenValue());
// OAuth2 유저 정보를 가져옵니다.
OAuth2User oAuth2User = super.loadUser(userRequest);
// 구글 로그인 버튼 클릭 →구글 로그인 창 → 로그인 완료 → code 를 리턴(OAuth-Client 라이브러리) → AccessToken 요청
// userRequest 정보 → 회원 프로필 받아야함(loadUser 함수 호출) → 구글로부터 회원 프로필을 받아준다.
log.info("getAttributes in PrincipalOauth2UserService : " + oAuth2User.getAttributes());
// 회원가입 강제 진행
OAuth2UserInfo oAuth2UserInfo = null;
// 소셜 정보를 가지고 옵니다.
// OAuth2 서비스 아이디
if(userRequest.getClientRegistration().getRegistrationId().equals("google")) {
log.info("구글 로그인 요청");
oAuth2UserInfo = new GoogleUserInfo(oAuth2User.getAttributes());
} else if(userRequest.getClientRegistration().getRegistrationId().equals("naver")) {
log.info("네이버 로그인 요청");
// 네이버는 response를 json으로 리턴을 해주는데 아래의 코드가 받아오는 코드다.
// response={id=5SN-ML41CuX_iAUFH6-KWbuei8kRV9aTHdXOOXgL2K0, email=zxzz8014@naver.com, name=전혜영}
// 위의 정보를 NaverUserInfo에 넘기면
oAuth2UserInfo = new NaverUserInfo((Map) oAuth2User.getAttributes().get("response"));
}else {
log.info("지원하지 않는 소셜 로그인입니다.");
}
// 사용자가 로그인한 소셜 서비스를 가지고 옵니다.
// 예시) google or naver 같은 값을 가질 수 있다.
String provider = oAuth2UserInfo.getProvider();
// 사용자의 소셜 서비스(provider)에서 발급된 고유한 식별자를 가져옵니다.
// 이 값은 해당 소셜 서비스에서 유니크한 사용자를 식별하는 용도로 사용됩니다.
String providerId = oAuth2UserInfo.getProviderId();
String name = oAuth2UserInfo.getName();
String password = bCryptPasswordEncoder.encode("get");
// 사용자의 이메일 주소를 가지고 옵니다.
// 소셜 서비스에서 제공하는 이메일 정보를 사용합니다.
String email = oAuth2UserInfo.getEmail();
// 사용자의 권한 정보를 설정합니다.
// 소셜 로그인으로 접속하면 무조건 USER로 등록되게 설정
Role role = Role.USER;
// UUID를 사용하여 랜덤한 문자열 생성
// 닉네임을 랜덤으로 설정할거면 이 코드 적용
// UUID uuid = UUID.randomUUID();
// // External User 줄임말 : EU
// String randomNickName =
// "EU" + uuid.toString().replace("-", "").substring(0, 9);
// 닉네임을 소셜 아이디 이름을 가지고 적용한다.
String nickName = oAuth2UserInfo.getName();
// 이메일 주소를 사용하여 이미 해당 이메일로 가입된 사용자가 있는지 데이터베이스에서 조회합니다.
MemberEntity member = memberRepository.findByUserEmail(email);
if(member == null) {
log.info("OAuth 로그인이 최초입니다.");
log.info("OAuth 자동 회원가입을 진행합니다.");
member = MemberEntity.builder()
.userEmail(email)
.role(role)
.userName(name)
.provider(provider)
.providerId(providerId)
.userPw(password)
.nickName(nickName)
.build();
log.info("member : " + member);
memberRepository.save(member);
}else {
log.info("로그인을 이미 한적이 있습니다. 당신은 자동회원가입이 되어 있습니다.");
// 이미 존재하는 회원이면 업데이트를 해줍니다.
member = MemberEntity.builder()
.userId(member.getUserId())
.userEmail(email)
.role(role)
.userName(name)
.provider(provider)
.providerId(providerId)
.userPw(password)
.nickName(nickName)
.build();
memberRepository.save(member);
}
// attributes가 있는 생성자를 사용하여 PrincipalDetails 객체 생성
// 소셜 로그인인 경우에는 attributes도 함께 가지고 있는 PrincipalDetails 객체를 생성하게 됩니다.
PrincipalDetails principalDetails = new PrincipalDetails(member, oAuth2User.getAttributes());
log.info("principalDetails in PrincipalOauth2UserService : " + principalDetails);
return principalDetails;
}
}PrincipalDetails
package com.example.social.config.auth;
import com.example.social.entity.MemberEntity;
import lombok.Getter;
import lombok.NoArgsConstructor;
import lombok.Setter;
import lombok.ToString;
import lombok.extern.log4j.Log4j2;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.Collection;
import java.util.Map;
// PrincipalDetails 클래스는 UserDetails 인터페이스를 구현하여 사용자의 정보와 권한을 저장하는 역할을 하고 있습니다.
// 여기서 JwtProvider 에 정보를 줘서 토큰을 생성하게 한다.
// UserDetails → 일반 로그인
// OAuth2User → 소셜 로그인
@Setter
@Getter
@ToString
@Log4j2
@NoArgsConstructor
@Component
public class PrincipalDetails implements UserDetails, OAuth2User {
// 일반 로그인 정보를 저장하기 위한 필드
private MemberEntity member;
// OAuth2 로그인 정보를 저장하기 위한 필드
// attributes는 Spring Security에서 OAuth2 인증을 수행한 후에
// 사용자에 대한 추가 정보를 저장하는 데 사용되는 맵(Map)입니다.
// OAuth2 인증은 사용자 인증 후에 액세스 토큰(Access Token)을 발급받게 되는데,
// 이 토큰을 사용하여 OAuth2 서비스(provider)로부터 사용자의 프로필 정보를 요청할 수 있습니다.
// 예를 들어, 소셜 로그인을 사용한 경우에는 attributes에는 사용자의 소셜 서비스(provider)에서 제공하는 프로필 정보가 담겨 있습니다.
// 소셜 로그인 서비스(provider)마다 제공하는 프로필 정보가 다를 수 있습니다.
// 일반적으로 attributes에는 사용자의 아이디(ID), 이름, 이메일 주소, 프로필 사진 URL 등의 정보가 포함됩니다.
/*
* 구글의 경우
* {
"sub": "100882758450498962866", // 구글에서 발급하는 고유 사용자 ID
"name": "John Doe", // 사용자 이름
"given_name": "John", // 이름(이름 부분)
"family_name": "Doe", // 성(성(성) 부분)
"picture": "https://lh3.googleusercontent.com/a/AAcHTtdzQomNwZCruCcM0Eurcf8hAgBHcgwvbXEBQdw3olPkSg=s96-c", // 프로필 사진 URL
"email": "johndoe@example.com", // 이메일 주소
"email_verified": true, // 이메일 주소 인증 여부
"locale": "en" // 지역 설정
}
* */
private Map<String, Object> attributes;
// 일반 로그인
// 여기서는 Oauth2를 사용하지 않고 JWT와 security만 사용할 거임
public PrincipalDetails(MemberEntity member) {
this.member = member;
}
// OAuth2 로그인
public PrincipalDetails(MemberEntity member, Map<String, Object> attributes) {
this.member = member;
this.attributes = attributes;
}
// 해당 유저의 권한을 권한을 리턴
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
Collection<GrantedAuthority> collection = new ArrayList<>();
collection.add(new SimpleGrantedAuthority("ROLE_" + member.getRole().toString()));
return collection;
}
// 사용자 패스워드를 반환
@Override
public String getPassword() {
return member.getUserPw();
}
// 사용자 이름 반환
@Override
public String getUsername() {
return member.getUserEmail();
}
// 계정 만료 여부 반환
@Override
public boolean isAccountNonExpired() {
// 만료되었는지 확인하는 로직
// true = 만료되지 않음
return true;
}
// 계정 잠금 여부 반환
@Override
public boolean isAccountNonLocked() {
// true = 잠금되지 않음
return true;
}
// 패스워드의 만료 여부 반환
@Override
public boolean isCredentialsNonExpired() {
// 패스워드가 만료되었는지 확인하는 로직
// true = 만료되지 않음
return true;
}
// 계정 사용 가능 여부 반환
@Override
public boolean isEnabled() {
// 계정이 사용 가능한지 확인하는 로직
// true = 사용 가능
return true;
}
@Override
public Map<String, Object> getAttributes() {
log.info("attributes : " + attributes);
return attributes;
}
@Override
// OAuth2 인증에서는 사용되지 않는 메서드이므로 null 반환
public String getName() {
return null;
}
}
JWT 구현 로직 생략
문제점
(백엔드) 받고 검증해준다.
↑ 이 부분에서 막혔습니다.
private String checkToken(String token) {
try {
JwtParser parser = Jwts.parserBuilder().build();
// 주어진 토큰을 디코딩하여 JWT 클레임을 추출합니다.
// 이 클레임에는 토큰에 대한 정보가 포함되어 있으며,
// 이 코드에서는 클레임에서 발급자(issuer) 정보를 확인하기 위해 사용합니다.
Claims claims = parser.parseClaimsJws(token).getBody();
// iss 클레임을 확인하여 Google 발급 토큰 여부를 판별
String issuer = (String) claims.get("iss");
log.info("issuer : " + issuer);
return issuer;
} catch (Exception e) {
// 예외 처리: JWT 디코딩 실패 시 처리할 내용을 여기에 추가
log.error("JWT 디코딩 실패: " + e.getMessage(), e);
throw new RuntimeException("JWT 디코딩 실패: " + e.getMessage(), e);
}
}여기서 issuer을 가져와서 구글인지 네이버인지 확인하려고 하는 과정에서 JWT는 .
이 2개인데 구글이나 네이버 같은 경우는 .이 1개라 오류가 발생하는 거 같습니다...
구글, 네이버 검증해서 JWT를 반환하려고 하는데 계속 실패하니 막막하네요...
질문
소셜 로그인같이
.이 1개일 때는 어떻게 거기서 정보를 빼올 수 있나요?보통 강의에서 보면 소셜 accessToken을 받고 검증해서 거기서 정보를 빼는게 아니라 그냥 로직을 구현하면 정보를 가져오던데 저는 JWT 검증 로직에서 계속 소셜로그인 accessToken이 잘못되었다고 떠서 소셜 로그인 accessToken을 검증하는 로직을 구현했는데 이렇게 하는게 맞나요?
답변을 작성해보세요.
0
인프런 AI 인턴
2023.09.27
안녕하세요, 인프런 AI 인턴이에요.
소셜 로그인 구현에 관해 질문하셨는데요, 제가 이해한 내용으로 답변을 드리겠습니다.
프론트에서 소셜 로그인을 하고, accessToken을 헤더에 담아서 서버로 보내주신다는 것이 맞으시죠? 그렇다면 백엔드에서는 해당 accessToken을 검증한 후, 통과되면 SecurityContextHolder.getContext().setAuthentication()에 넣어주고 컨트롤러에서 정보를 빼와서 JWT를 만들어 프론트로 반환한다는 것으로 이해했습니다.
이 과정을 구현하기 위해서는 백엔드에서 accessToken을 검증하는 부분이 필요합니다. 구글이나 네이버 등의 소셜 로그인은 일반적으로 OAuth2를 사용하고 있으므로, 해당 소셜 플랫폼에서 제공하는 인증 및 인가 과정을 따라야 합니다.
스프링부트에서는 소셜 로그인을 구현하는데 도움을 주는 라이브러리들이 있습니다. 예를 들어, Spring Security OAuth2를 사용하여 소셜 로그인 인증을 처리할 수 있습니다. Spring Security OAuth2는 소셜 로그인 인증을 위한 프로토콜을 지원하는 필터를 제공합니다.
먼저, 헤더에 있는 accessToken을 검증하기 위한 필터를 만들어야 합니다. 이 필터는 JwtSecurityConfig를 적용하고, jwtProvider를 사용하여 JWT 검증을 수행합니다. 이 필터를 어느 위치에서 사용할지 등록해야만 작동하게 됩니다.
예시로 주신 코드에서는 Spring Security의 HttpSecurity 설정 파트에서 위의 필터를 등록하도록 되어 있네요. 해당 부분에서 JwtSecurityConfig를 apply() 메소드로 적용하고, jwtProvider를 사용하여 JWT 검증을 수행하면 되는 것 같습니다.
이렇게 구현하시면 accessToken을 검증하고, 검증이 통과된 경우 SecurityContextHolder.getContext().setAuthentication()에 넣을 수 있게 됩니다.
프론트에서는 JWT를 가지고 뭔가 처리할 때, 별도로 만든 accessToken을 헤더에 담아서 보내주시면 됩니다.
추가적인 내용이 있으시면 언제든지 질문해주세요. 즐거운 개발되세요!
답변 1