[Spring] JWT 이용해서 로그인 기능 만들기 - 사용자 검증

너무 길어져서 설명 따로 분리한다.

@Service
@RequiredArgsConstructor
@Slf4j
public class AuthService {

    private final AuthenticateHandler authenticateHandler;
    private final JwtProvider jwtProvider;
    private final UserDetailsServiceImpl userDetailsServiceImpl;

    public TokenDTO login(LoginRequestDTO request) {
        PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

        /*
        * (1) 사용자 검증(UserDetailsService)
        * */
        UserDetailsDTO userDetails = (UserDetailsDTO) userDetailsServiceImpl.loadUserByUsername(request.getUserId());

        /*
        * (2) 비밀번호 비교(PasswordEncoder)
        * */
        if (!passwordEncoder.matches(request.getPassword(), userDetails.getPassword())) {
            throw new BadCredentialsException("비밀번호가 일치하지 않아!(T_T)");
        }

        /*
        * (3) Authentication 객체 생성
        * */
        Authentication authentication = authenticateHandler.authenticate(request);

        // (4) JWT 발급
        String accessToken = jwtProvider.createAccessToken(authentication);

        // (5) 클라이언트에 토큰 전달
        return new TokenDTO(accessToken);
    }

}

여기서 첫번째 순서 설명!

UserDetailsDTO userDetails = (UserDetailsDTO) userDetailsServiceImpl.loadUserByUsername(request.getUserId());

(1) UserDetailsDTO

DB에서 꺼낸 데이터는 일반적으로 날것 그대로의 정보이다.

그래서 USER 테이블 = 현실 세계의 사용자 데이터이다.

 

반면에 

UserDetails = 스프링 시큐리티가 이해하는 '인증용 인간'이다.

 

• DB → UserDTO (그냥 데이터)
• UserDTO → UserDetailsDTO (인증용 객체)

그리고 UserDetailsDTO는 UserDetails 인터페이스를 가져와서 구현하기 때문에 어차피 UserDTO와 합쳐서 사용하진 못한다.

@Getter
@Setter
@ToString
public class UserDetailsDTO implements UserDetails {

    private String userCd;
    private String userId;
    private String userNm;
    private String password;

    // 있으나 없으나
    private String bgColor;
    private String textColor;
    private String insertDatetime;

    /*
    * 1. Lombok 어노테이션을 사용해도 UserDetails에서 요구하는 인터페이스는 직접 작성해야 한다.
    * */

    private final String role = "ROLE_USER";

    @Override
    public String getUsername() {
        return userId;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        // 고정 반환
        return List.of(new SimpleGrantedAuthority(this.role));
    }

    /**
     * 형식적인 요소들 : true로 고정
     * */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

}

 

1️⃣ public class UserDetailsDTO implements UserDetails

UserDetails는 Spring Security가 사용자 정보를 다루기 위해 강제로 요구하는 인터페이스이다.

이 인터페이스를 구현했다는건 👉 “이 객체는 로그인한 사용자로 써도 된다”는 뜻.

기존의 UserDTO와 분리한 이유.

 

2️⃣ 필드부 작성

보안에 직접 관여하는건 아니지만 각 프로젝트별로 필요한 User의 정보를 작성한다.

 

3️⃣ 권한(role) 설계 - private final String role = "ROLE_USER"

Spring Security는 권한 이름이 반드시 ROLE_로 시작해야 한다.

 

• USER ❌
• ROLE_USER ⭕️

지금 내 프로젝트의 경우 권한은 딱히 없어서... 그냥 ROLE_USER로 박아뒀다. 나중에 필요하면 바뀔수도...? 아직은 계획x

 

4️⃣ 핵심 메소드

• getUsername() : Spring Security가 "이 사용자의 아이디가 무엇인가" 라고 물을 때 호출된다. 보통 userId를 반환하는게 정석(정답은 아님~)
• getPassword() : DB에서 저장된 암호화된 비밀번호를 가져온다. 인증 과정에서 PasswordEncoder.matches()에 사용됨
• getAuthorities() : "이 사용자의 권한을 정의" 
  • GrantedAuthority : 권한 인터페이스
  • SimpleGrantedAuthority : 가장 기본의 구현체

5️⃣ 계정 상태 관련 메소드

보통 형식적인 요소들이기 때문에 true로 고정한다.

• public boolean isAccountNonExpired() { return true; } : 계정 만료 여부
• public boolean isAccountNonLocked() { return true; } : 계정 잠김 여부. 로그인 실패 5회 정책만들 때 사용
• public boolean isCredentialsNonExpired() { return true; } : 비밀번호 만료 여부. 90일마다 변경 정책 때 사용
• public boolean isEnabled() { return true; } : 계정 활성화 여부. 탈퇴, 휴면 계정 처리할 때 사용

저런거 만들면 좋긴 한데.. 내 프로젝트는 제약이 없는 후리(?)한 스타일을 추구하기 때문에 따로 구현하진 않았다.

누가 장난질하면 나중에라도 개발을 할려나..?

(2) UserDetailsServiceImpl

지피티의 고견으로는 이 부분이 Spring Security 인증의 "심장"부분이라 하신다.

이렇게까지 거창한 표현을 쓸줄이야...

@Service
@RequiredArgsConstructor
@Slf4j
public class UserDetailsServiceImpl implements UserDetailsService {

    public final JdbcTemplate jdbcTemplate;

    @Override
    public UserDetails loadUserByUsername(String userId) {
        String sql = "SELECT * FROM \"USER\" WHERE \"USER_ID\" = ?"; // 여기 에러는 무시 가능
        UserDetailsDTO userImpl = new UserDetailsDTO();

        try {
            UserDTO user = jdbcTemplate.queryForObject(
                    sql,
                    new Object[]{userId},
                    (rs, rowNum) -> {   // Mapper
                        UserDTO u = new UserDTO();
                        u.setUserCd(rs.getString("USER_CD"));
                        u.setUserId(rs.getString("USER_ID"));
                        u.setUserNm(rs.getString("USER_NM"));
                        u.setPassword(rs.getString("PASSWORD"));
                        u.setBgColor(rs.getString("BG_COLOR"));
                        u.setTextColor(rs.getString("TEXT_COLOR"));
                        u.setInsertDatetime(rs.getString("INSERT_DATETIME"));
                        return u;
                    }
            );

            if (user == null) {
                throw new UsernameNotFoundException("사용자 정보 없음: " + userId);
            }

            userImpl.setUserCd(user.getUserCd());
            userImpl.setUserId(user.getUserId());
            userImpl.setUserNm(user.getUserNm());
            userImpl.setPassword(user.getPassword());
            userImpl.setBgColor(user.getBgColor());
            userImpl.setTextColor(user.getTextColor());
            userImpl.setInsertDatetime(user.getInsertDatetime());
            return userImpl;

        } catch (Exception e) {
            e.printStackTrace();
            throw new UsernameNotFoundException("사용자 정보 없음: " + userId);
        }
    }

1️⃣ public class UserDetailsServiceImpl implements UserDetailsService

UserDetailsService 또한 Spring Security가 로그인 시 무조건 호출하는 서비스이다.

• 사용자가 아이디 + 비밀번호 입력
• Spring Security가 UserDetailsService를 찾음
• loadUserByUsername(username)을 자동으로 호출

따라서 개발자가 따로 호출하지 않아도 자동으로 연결된다.

이걸 지금 implement한 이유는 그 안의 loadUserByUsername을 오버라이드해서 사용할려고. 

 

2️⃣ JDBCTemplate 선택 이유

JDBCTemplate는 동기 처리가 가능하고, 예외 흐름이 명확하며, 트랜잭션과 디버깅이 쉽다. 이거 사용 안하면 Supabase SDK를 사용하는 수밖에 없는데, 그거 설치하고 세팅하기까지 또 엄청 오래 걸릴것이 당연지사, Kotlin 비동기식 + SDK 업데이트도 필요하기 때문에 이것저것 귀찮음 이슈로 JDBCTemplate를 선택했다...

 

3️⃣ public UserDetails loadUserByUsername

절대로 임의의 메소드가 아니고, UserDetailsService에 내장되어 있는 메소드이다.

Spring Security 내부에서 AuthenticationManager → UserDetailsService.loadUserByUsername()을 실행한다.

👉 로그인 버튼을 누르면 무조건 실행됨!

 

4️⃣ SQL작성문

String sql = "SELECT * FROM \"USER\" WHERE \"USER_ID\" = ? ";

참고로 큰따옴표 "USER"로 작성해야 하므로(PostgreSQL을 사용함, 테이블명 & 컬럼명을 대문자로 함) 이스케이프 문자 \를 "앞에 반드시 사용해준다. 

이런식으로 빨간색 표시와 함께 에러 문구가 뜨긴 하는데, sql은 잘도 돌아간다. 이게 싫으면 DB설계 때 소문자로 하던가ㅎ

jdbcTemplate.queryForObject(sql, param[], RowMapper)

queryForObject: 데이터베이스 쿼리를 실행하여, 단 하나의 객체를 조회할 때 사용하는 메소드. 단건 조회에 최적합. 결과가 0행이거나 2행 이상일 경우 예외 반환, 정상인 경우 UserDTO 객체 하나 반환

• 첫번째 인자 : 실행할 SQL. ?는 아직 값이 없는 자리
• 두번째 인자 : 파라미터 배열. SQL의 첫번째 ?에 이 배열의 첫번째 값인 userId를 넣어달라는 뜻
• 세번째 인자 : 람다식 RowMapper

(rs, rowNum) -> {...} : RowMapper의 인터페이스 구현. 원래 형태는

public UserDTO mapRow(ResultSet rs, int rowNum)

rs(ResultSet) : DB에서 조회한 현재 행. 커서가 이미 해당 행에 위치해 있음

rowNum : 몇번째 행인지(0부터 시작), query()에서 여러 행 처리할 때 유용

람다식 내부에선 UserDTO를 반환하는 작업을 할것이다.

(rs, rowNum) -> {   
    UserDTO u = new UserDTO();
    u.setUserCd(rs.getString("USER_CD"));
    u.setUserId(rs.getString("USER_ID"));
    u.setUserNm(rs.getString("USER_NM"));
    u.setPassword(rs.getString("PASSWORD"));
    u.setBgColor(rs.getString("BG_COLOR"));
    u.setTextColor(rs.getString("TEXT_COLOR"));
    u.setInsertDatetime(rs.getString("INSERT_DATETIME"));
    return u;
}

그니까 사실 이건,

new RowMapper<UserDTO>() {
    @Override
    public UserDTO mapRow(ResultSet rs, int rowNum) throws SQLException {
        UserDTO u = new UserDTO();
        u.setUserCd(rs.getString("USER_CD"));
        u.setUserId(rs.getString("USER_ID"));
        u.setUserNm(rs.getString("USER_NM"));
        u.setPassword(rs.getString("PASSWORD"));
        u.setBgColor(rs.getString("BG_COLOR"));
        u.setTextColor(rs.getString("TEXT_COLOR"));
        u.setInsertDatetime(rs.getString("INSERT_DATETIME"));
        return u;
    }
}

이거랑 똑같은 뜻이다.

람다에 대한 설명은 여기에...

 

5️⃣ 객체 반환

SQL로부터 반환된 객체 값을 userDetailsDTO에 넣어서 원래 메소드 UserDetailsDTO userDetails로 반환한다.

 

[참고 자료]

https://programmer93.tistory.com/68

Spring Security UserDetails, UserDetailsService 란? - 삽질중인 개발자

https://velog.io/@cyseok123/%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0%EC%97%90-%EC%B6%94%EA%B0%80%ED%95%98%EA%B8%B0

[Spring] Spring-Security / UserDetails와 UserDetailsService 커스터마이징