https://lookids.atlassian.net/jira/software/projects/KAN/boards/3?selectedIssue=KAN-22

1. Service 계층에서 로그인(signIn) 메서드 구현
   1. 암호화된 패스워드와 입력된 패스워드에 대해 비교 처리(PasswordEncoder.matcher)
   2. 로그인 된다면 액세스토큰과 리프레쉬토큰 발급 ← 발급까지만 담당, 검증은 gateway 에서 처리
      1. 이는 Authentication 을 통해 사용자 인증 후 각각의 토큰을 생성
2. SecurityConfig
   1. BCryptPasswordEncoder를 이용한 PasswordEncoder
   2. CorsFilter 처리
   3. SecurityFilterChain 으로 요청경로에 대한 권한 설정
3. JWT
   1. secret-key를 통해 서명 키 생성
   2. 로그인ID, 발행시간, 만료시간, 서명키를 통해 jwt 토큰 생성

“SpringSecurity & Setting”

SecurityConfig

AuthenticationProvider , JwtAuthenticationFilter 제공 받음

• CorsFilter (Spring MVC에서 CORS 요청을 처리하기 위한 필터)

  • CORS 설정은 다른 출처의 웹 애플리케이션이 API에 접근할 수 있도록 허용하는 데 사용
  • UrlBasedCorsConfigurationSource: 특정 URL 패턴에 대한 CORS 설정을 등록하는 데 사용 **: 모든 URL 패턴에 대해 설정을 적용-
  • CorsConfiguration
    • config.setAllowCredentials(true): 쿠키 및 인증 정보를 포함한 요청을 허용
    • config.addAllowedOriginPattern("*"): 모든 출처에서의 요청을 허용(필요에 따라 특정 출처로 제한)
    • config.addAllowedHeader("*"): 모든 헤더를 허용 ← 보안상의 이유로 실제 배포 환경에서는 신뢰할 수 있는 출처만 허용하는 것이 좋음
    • config.addAllowedMethod("*"): 모든 HTTP 메서드(GET, POST 등)를 허용
    • config.setExposedHeaders(List.of("Authorization")): 클라이언트가 접근할 수 있는 응답 헤더를 설정

• SecurityFilterChain

  • csrf(AbstractHttpConfigurer::disable) CSRF(Cross-Site Request Forgery) 보호를 비활성화, REST API에서는 CSRF 공격의 위험이 낮으므로 종종 비활성화
  • authorizeHttpRequests() 통한 요청 권한 설정 ← 특정 경로에 대해 모든 요청 허용하고 그 외에는 인증 필요하게 설정함
  • sessionManagement 에서 서버가 클라이언트의 세션을 관리하지 않도록 설정
  • 사용자 인증을 처리할 authenticationProvider를 설정
  • CORS 필터를 추가하여 CORS 요청을 처리

ApplicationConfig

• @Configuration : Spring의 설정 클래스임을 나타냄
• AuthenticationManager

  • ProviderManager를 사용하여 여러 AuthenticationProvider를 조합. 여기서는 DaoAuthenticationProvider와 커스텀 OAuthAuthenticationProvider를 사용

  • DaoAuthenticationProvider는 사용자 정보를 데이터베이스에서 조회하고 비밀번호를 검증하는 데 사용. UserDetailsService로 authUserDetailService를 설정하고, 비밀번호 인코더로 BCryptPasswordEncoder (BCrypt 해시 함수를 사용하여 비밀번호 암호화)를 설정

    • Data Access Object : 데이터베이스와 상호 작용하는 객체
    • AuthUserDetailService 사용자 인증을 위해 필요한 정보를 로드하는 서비스 Spring Security와의 통합을 통해 사용자의 인증 및 권한 부여를 관리. 이 클래스는 사용자 UUID로 데이터베이스에서 사용자 정보를 조회하고, 이를 기반으로 UserDetails 객체를 생성하여 인증 과정에 활용

    public UserDetails loadUserByUsername(String uuid) throws UsernameNotFoundException {
    		return new AuthUser(authRepository.findByUuid(uuid).orElseThrow(() -> new UsernameNotFoundException(uuid)));
    	}
    

    • UserDetails : Spring Security에서 사용자 인증 정보를 나타내는 인터페이스