[Lehgo] Spring boot : OAuth SNS Login, sns 회원가입 로그인

💻 실습 환경

Framework: Spring Boot, Spring Security
Build: Maven

 

💬 요구 사항 & 서비스 흐름

Google, Naver, Kakao API를 이용해 회원 정보를 요청하고 그 정보를 이용해 서비스에 회원가입, 로그인하자

1. Google, Naver, Kakao에 application 등록을 하고 callback url을 입력함
2. 로그인 시, Google, Naver, Kakao에 AccessToken을 요청한다.
3. 성공적으로 AccessToken을 받으면 callBack주소로 이동한다. 
4. AccessToken을 이용해 개인 정보를 요청한다.
5. 가입되지 않은 회원이면 회원가입을 수행한다.
6. 이미 가입된 회원이면 로그인을 수행한다.
7. 로그인시 jwtToken을 발급한다.

 

아래 코드 리뷰는 Naver OAuth를 기준으로 작성됐습니다. 각 OAuth마다 요구하는 조건이 다르기 때문에 꼭 공식문서를 확인해주세요.

더 구체적인 코드는 아래의 깃을 확인해주세요.

GitHub - miinsun/Lehgo

 

---

 

📌 대/소문자 converter

Controller에서 받는 파라미터를 enum타입으로 대문자를 소문자로 매핑 하도록 converter를 생성

 

@Configuration
public class SocialLoginTypeConverter implements Converter<String, SocialLoginType> {
    @Override
    public SocialLoginType convert(String s) {
        return SocialLoginType.valueOf(s.toUpperCase());
    }
}

 

📌 Redirect URL 생성

각 API의 메타 정보들을 property의 성격으로 application-API_KEY에 저장해 resource로 관리해줍니다. 각각 이때 API 공식 가이드를 참고해 APIServer에 redirect 요청을 하도록 헤더를 설정해줍니다.

@Override
    public String getOauthRedirectURL() {
		Map<String, Object> params = new HashMap<>();
        params.put("scope", getScopeUrl());
        params.put("response_type", "code");
        params.put("client_id", GOOGLE_CLIENT_ID);
        params.put("redirect_uri", GOOGLE_CALLBACK_URL);

        String parameterString = params.entrySet().stream()
                .map(x -> x.getKey() + "=" + x.getValue())
                .collect(Collectors.joining("&"));

        return GOOGLE_SNS_BASE_URL + "?" + parameterString;
    }

 

📌 Access Token 생성

Spring Boot RestTemplate를 활용해 메소드를 구현. RestTemplate는 사용자가 정의한 객체 mapping해 다양한 형태로 데이터를 파싱해서 받을 수 있습니다. API 서버별 미리 지정된 형식으로 DTO를 만들고, 토큰 요청 결과와 매핑 시켜줍니다.

ResponseEntity<NaverLoginResponse> apiResponseJson = restTemplate.exchange(
    NAVER_SNS_BASE_URL + "/token",
    HttpMethod.POST,
    naverTokenRequest,
    NaverLoginResponse.class
    );

 

 

📌 사용자 정보 확인

방금 얻은 Access Token을 이용해 사용자 정보를 가져옵니다. Access Token 정보를 header에 세팅해주고, 사용자 정보를 api서버에 GET 요청합니다. 이때 받은 사용자 정보를 가공해 lehgo 서비스에 자동으로 회원가입하도록 해줍니다.

/* 사용자 정보 가져오기 */
// Http Header 설정
HttpHeaders headers2 = new HttpHeaders();
headers2.add("Authorization", "Bearer " + naverLoginResponse.getAccessToken());
headers2.add("Content-type", "application/x-www-form-urlencoded;charset=utf-8");

HttpEntity<MultiValueMap<String, String>> naverTokenRequest2 = new HttpEntity<>(headers2);
ResponseEntity<NaverLoginDto> apiResponseJson2 = restTemplate.exchange(
        "https://openapi.naver.com/v1/nid/me", 
        HttpMethod.GET,
        naverTokenRequest2,
        NaverLoginDto.class
        );

 

 

📌 사용자 정보 확인

방금 얻은 Access Token을 이용해 사용자 정보를 가져옵니다. Access Token 정보를 header에 세팅해주고, 사용자 정보를 api서버에 GET 요청합니다. 이때 받은 사용자 정보를 가공해 lehgo 서비스에 자동으로 회원가입하도록 해줍니다.

/* 사용자 정보 가져오기 */
// Http Header 설정
HttpHeaders headers2 = new HttpHeaders();
headers2.add("Authorization", "Bearer " + naverLoginResponse.getAccessToken());
headers2.add("Content-type", "application/x-www-form-urlencoded;charset=utf-8");

HttpEntity<MultiValueMap<String, String>> naverTokenRequest2 = new HttpEntity<>(headers2);
ResponseEntity<NaverLoginDto> apiResponseJson2 = restTemplate.exchange(
        "https://openapi.naver.com/v1/nid/me", 
        HttpMethod.GET,
        naverTokenRequest2,
        NaverLoginDto.class
        );

 

 

📌 Spring Security 설정

스프링 시큐리티의 각종 설정을 수행합니다. 리소스에 대한 접근 권한 설정, 인증 로직 설정을 구현하였습니다.

• .antMatchers("/admin/**").hasRole("ADMIN")
  • 리소스 admin으로 시작하는 모든 url은 인증 후 ADMIN 레벨의 권한을 가진 사용자만 접근을 허용한다.

• sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
  • 스프링 시큐리티의 세션 정책입니다. 스프링 시큐리티가 세션을 생성하지도 않고 기존에 만들어진 세션을 사용하지 않습니다. JWT 토큰 방식을 사용하기 위해 stateless 설정해줍니다.

• http.addFilterBefore(new JwtAuthenticationFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class);
  • Spring Security Filter와 통합하지 않고 JwtAuthenticationFilter에서 인증 및 권한 작업을 진행해야하기 때문에 JwtTokenProvier를 통해서 인증 후 SecurityContextHolder를 바로 사용합니다.

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    http
    .csrf().disable()
    .httpBasic().disable()
    .authorizeRequests()
    .antMatchers("/login").permitAll()
    .antMatchers("/exists/**").permitAll() //중복 여부 검사
    .antMatchers("/checkUser").hasRole("USER")
    .antMatchers("/admin/**").hasRole("ADMIN")
    .anyRequest().permitAll()
    .and() 
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
    .and() 
    .formLogin()
        .disable();
    http.addFilterBefore(new JwtAuthenticationFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class);
}

 

📌 jwtToken 생성

jwt Token을 생성하는 메서드입니다.

• .setIssuedAt(now)
• .setExpiration(new Date(now.getTime() + Duration.ofMinutes(30).toMillis()))
  • 토큰 발행 일자와 만료일자를 지정해줍니다. 만료 기간이 지나면 토큰의 권한이 없어집니다.
• .signWith(SignatureAlgorithm.HS256, JwtProperties.getSecretKey())
  • 서명의 경우 HS256 알고리즘을 이용하고, key는 이전에 지정한 key의 byte값을 입력해 이용했습니다.

public static String makeJwtToken(UserVO user) {
    Date now = new Date();
    
    return Jwts.builder()
            .setHeaderParam(Header.TYPE, Header.JWT_TYPE)
            .setIssuer(JwtProperties.getIssuer())
            .setIssuedAt(now)
            .setExpiration(new Date(now.getTime() + Duration.ofMinutes(30).toMillis()))
            .claim("id", user.getUsername())
            .claim("auth", user.getAuth())
            .signWith(SignatureAlgorithm.HS256, JwtProperties.getSecretKey())
            .compact();
}

 

 

📌 비밀번호 암호화

BCrypt 해싱 함수는 비밀번호를 암호화하기 위해 사용하였습니다.

이는 비밀번호를 사용자가 제출한 비밀번호와 DB에 저장된 비밀번호의 일치 여부를 확인해주는 역할을 합니다. 비밀번호를 암호화 함으로써 비밀번호 데이터가 노출되더라도 확인하기 어렵도록 만들어 줍니다.

@Bean //비밀번호 암호화
public BCryptPasswordEncoder bCryptPasswordEncoder() 
{ 
    return new BCryptPasswordEncoder(); 
}