• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

안녕하세요 base64질문

21.02.24 01:21 작성 조회수 434

2

안녕하세요, 코드 하나하나 뜯어보면서 디테일한 부분에서 많이 공부하고 있습니다.

TokenProvider에서 byte[] keyBytes = Decoders.BASE64.decode(secret);로 바이트배열을 생성한 다음 키를 생성하는데요,

jwt.secret은  silvernine-tech-spring ~ 이 터미널 기본 chartset인 utf-8으로 바이트로 바뀌고 바이트가 다시 base64로 인코딩되어 Yml파일에 저장되는데요, provider에서 주입받은 secret을 base64로 다시 디코딩해서 사용하는 이유가 궁금합니다.

그냥 yml에 secret을 silvernine-tech-spring ~ 놔둔 상태로 주입받아서 utf-8으로 바이트로 바꾸고 키 생성을 해도 같은 결과이지 않을까요?

그리고 생성자가 아닌 DI 이후에 afterpropertyset을 이용해 key를 설정하는 이유도 궁금합니다.

course-thumbnail

Spring Boot JWT Tutorial

답변 1

답변을 작성해보세요.

0

정은구님의 프로필

정은구

지식공유자

2021.02.26

안녕하세요 kkkh0712님! 

말씀하신데로 "키를 인코딩 하지않고 사용" and "생성자에서 key를 설정" 하셔도 기능상 큰 문제는 없을 것으로 생각됩니다. :) 

다만, 저도 참고했던 코드에서 해당 내용들에 대해 kkkh0712님과 유사한 고민을 했었고 키 문자열이 그대로 application.yml에 노출되는 것이 신경이 쓰였었고, 키 설정 부분이 명시적으로 afterPropertiesSet() 시점에 설정되는 것이 좋지 않을까라고 생각되었기 때문입니다.

kkkh0712님의 프로필

kkkh0712

2021.02.27

감사합니다. 정말 코드하나하나 보면서 많이 배우고 있습니다. 한가지 더 질문드리자면  Authorization을 어떤 부분에서 config에서 hasrole로 처리하고 다른 어떤 부분은 메서드 시큐리티 (@PreAuthorize나 @Secured)로 처리하는게 좋을까요?

정은구님의 프로필

정은구

지식공유자

2021.03.19

안녕하세요 kkkh0712님! 죄송합니다 댓글로 재 질문해주신 것을 지금 보았네요 너무 늦게 답변드려 죄송합니다. .

hasRole, hasAnyRole 등을 사용하여 WebSecurityConfigurerAdapter를 extends한 클래스에서 설정하는 방법과

@PreAuthorize 등의 메소드 어노테이션을 사용하는 방법 

두 가지를 어떻게 사용하면 좋을지 고민이신거죠?

hasRole은 아래와 같이 ant pattern을 이용할 수 있어서 해당 패턴의 URL들을 일괄로 권한 설정을 할 수 있는 장점이 있고 

http .authorizeRequests()

.antMatchers("/resources/**", "/signup", "/about").permitAll()
.antMatchers("/users/**").hasRole("ADMIN") .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")

@PreAuthorize 는 해당 메소드에 명시적으로 걸 수 있어서 개발자가 명확히 인지할 수 있는 장점이 있는 것 같습니다.

룰 없이 여러가지를 복합적으로 쓴다면 유지보수가 어려워지는 코드가 될 수 있으니 어떻게 나눠라 라는 정답은 없지만 일정한 룰을 가지고 명확히 나눠서 쓰시면 더욱 좋을 것 같고요. 

그냥 참고삼아 말씀드리면 개인적으로는 실무에서 왠만하면 어느 한가지로 통일해서 쓰는 방향으로 유도를 하고 있습니다.

이 글과 비슷한 Q&A