스프링 부트와 스프링 시큐리티 통합: JWT와 OAuth2로 인증 및 인가 구현하기

 

스프링 부트(Spring Boot) 와 스프링 시큐리티(Spring Security) 를 사용하면 애플리케이션의 인증(Authentication) 과 인가(Authorization) 를 효과적으로 관리할 수 있습니다. 이번 포스팅에서는 인증과 인가 개념 을 설명하고, JWT(Json Web Token)를 활용한 로그인 처리 와 OAuth 2.0을 이용한 소셜 로그인 구현 방법을 예제와 함께 알아봅니다.

 

---

 

 

목차

1. 스프링 시큐리티의 인증과 인가 개념
2. JWT를 활용한 로그인 처리
3. OAuth 2.0 로그인 구현하기
4. 인증과 인가의 최신 트렌드와 중요성
5. JWT와 OAuth 2.0 예제 코드 및 실행 방법

 

---

 

1. 스프링 시큐리티의 인증과 인가 개념

스프링 시큐리티 는 스프링 프레임워크에 통합된 보안 라이브러리 로, 인증 과 인가 를 처리하는 데 최적화된 솔루션입니다.

• 인증(Authentication) : 사용자가 누구인지 확인하는 절차입니다. (예: 로그인)
• 인가(Authorization) : 사용자가 어떤 리소스에 접근할 수 있는지를 결정합니다. (예: 관리자 권한만 특정 페이지 접근)

구분	설명	예시
인증	사용자가 올바른 자격 증명을 제공하는지 확인	ID와 비밀번호로 로그인
인가	사용자가 리소스에 접근할 수 있는 권한이 있는지 확인	관리자만 접근 가능한 페이지

---

 

2. JWT를 활용한 로그인 처리

 

JWT란 무엇인가?

JWT(Json Web Token) 는 사용자 인증 정보를 암호화 한 토큰으로, 로그인 후 클라이언트에게 토큰을 발급하고 이후 요청마다 이 토큰을 사용해 인증합니다.

JWT 인증 흐름

1. 사용자가 ID와 비밀번호로 로그인 요청
2. 서버에서 사용자 정보를 확인 후 JWT 발급
3. 클라이언트는 JWT를 저장하고 이후 요청의 헤더에 포함 해 서버로 전송
4. 서버는 JWT를 검증해 요청 처리

JWT 발급 및 인증 예제 코드

 

pom.xml 의존성 추가

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
</dependency>

 

JwtTokenProvider.java (JWT 토큰 생성 및 검증)

package com.example.demo.security;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;

@Component
public class JwtTokenProvider {

    private final String SECRET_KEY = "mySecretKey";
    private final long EXPIRATION_TIME = 86400000; // 24시간

    public String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }

    public String validateAndGetUsername(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
        return claims.getSubject();
    }
}

 

SecurityConfig.java (스프링 시큐리티 설정)

package com.example.demo.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/login").permitAll()
            .anyRequest().authenticated();
    }
}

JWT 발급 및 인증 테스트

• POST /api/login : 로그인 후 JWT 발급
• 이후 요청에 Authorization 헤더 로 Bearer {token} 을 포함해 인증 처리

 

---

 

3. OAuth 2.0 로그인 구현하기

 

OAuth 2.0이란?

OAuth 2.0 은 구글, 페이스북, 카카오 등 소셜 로그인 을 구현할 때 사용되는 프로토콜입니다. 사용자가 애플리케이션에 직접 로그인하지 않고, 소셜 계정으로 인증 할 수 있도록 도와줍니다.

OAuth 2.0 로그인 흐름

1. 사용자가 구글 로그인 버튼 클릭
2. 구글에서 인증 후 액세스 토큰 발급
3. 애플리케이션이 토큰을 받아 사용자를 식별

OAuth 2.0 설정 예제

 

pom.xml 의존성 추가

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

 

application.yml 설정

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_GOOGLE_CLIENT_ID
            client-secret: YOUR_GOOGLE_CLIENT_SECRET
            redirect-uri: "{baseUrl}/login/oauth2/code/google"
            scope: email, profile
            client-authentication-method: basic
            authorization-grant-type: authorization_code
            provider:
              google:
                authorization-uri: https://accounts.google.com/o/oauth2/auth
                token-uri: https://oauth2.googleapis.com/token
                user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo

 

SecurityConfig.java (OAuth 2.0 설정)

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.oauth2Login()
        .loginPage("/login")
        .defaultSuccessUrl("/home", true);
}

실행 결과

1. /login 페이지에서 구글 로그인 버튼을 클릭합니다.
2. 구글 계정으로 로그인 후 /home 페이지로 리다이렉트됩니다.

 

---

 

4. 인증과 인가의 최신 트렌드와 중요성

• JWT 는 무상태(stateless) 서버 와 잘 맞아 마이크로서비스 아키텍처 에서 많이 사용됩니다.
• OAuth 2.0 은 소셜 로그인 을 제공하며, 사용자 경험을 개선하고 보안을 강화합니다.
• 2024년 기준, 클라우드 환경 에서는 JWT와 OAuth 2.0을 활용한 인증 및 인가가 필수적인 기술로 자리 잡고 있습니다.

 

---

 

관련 링크

Spring Security 공식 문서👆

JWT 공식 사이트👆

구글 OAuth 2.0 문서👆

Spring Boot와 JWT 튜토리얼👆

OAuth 2.0 개념 정리👆

Spring Boot 공식 사이트👆

---

FAQ

 

1. JWT는 언제 사용하는 것이 좋나요?

• JWT는 무상태(stateless) 인증 이 필요한 RESTful API에서 유용합니다.

2. OAuth 2.0과 JWT의 차이점은 무엇인가요?

• OAuth 2.0은 소셜 로그인 에 사용되며, JWT는 주로 토큰 기반 인증 에 사용됩니다.

3. JWT 토큰은 안전한가요?

• JWT는 서명된 토큰 으로 위변조가 어렵지만, 만료 시간 설정과 HTTPS 사용이 필요합니다.

4. OAuth 2.0 구현 시 클라이언트 ID와 비밀 키는 어디서 얻나요?

• 소셜 서비스(예: 구글, 페이스북) 개발자 콘솔에서 생성할 수 있습니다.

5. JWT 토큰이 만료되면 어떻게 해야 하나요?

• 리프레시 토큰(refresh token) 을 사용해 새로운 JWT를 발급받는 방법을 사용합니다.

 

---

 

마무리

이번 포스팅에서는 스프링 부트와 스프링 시큐리티 를 사용해 JWT 기반 인증 과 OAuth 2.0 소셜 로그인 을 구현하는 방법을 알아보았습니다. JWT 는 무상태 인증 에 적합하여 REST API와 마이크로서비스 환경에서 많이 사용됩니다. 또한 OAuth 2.0 을 사용하면 구글, 페이스북, 카카오 와 같은 소셜 계정을 통해 사용자 인증을 간편하게 처리할 수 있어 사용자 경험(UX)을 크게 향상시킬 수 있습니다.

스프링 시큐리티 는 다양한 인증 및 인가 방법을 지원하며, 애플리케이션에 유연한 보안 설정 을 제공합니다. 이번 포스팅을 통해 여러분의 애플리케이션에 안전한 보안 기능 을 추가해 보세요.