1. OAuth 2.0 Resource Server 소개Permalink

개요Permalink

• OAuth 2.0 인가 프레임워크의 역할 중 클라이언트 및 인가서버와의 통신을 담당하는 리소스 서버의 기능을 필터 기반으로 구현한 모듈
• 간단한 설정만으로 클라이언트의 리소스 접근 제한, 토큰 검증을 위한 인가서버와의 통신 등의 구현이 가능하다
• 어플리케이션의 권한 관리를 별도 인가 서버에 위임하는 경우에 사용할 수 있으며 리소스 서버는 요청을 인가할 때 이 인가 서버에 물어볼 수 있다

OAuth2ResourceServerPermalink

• 클라이언트의 접근을 제한하는 인가 정책을 설정한다
• 인가서버에서 발급한 Access Token 의 유효성을 검증하고 접근 범위에 따라 적절한 자원을 전달하도록 설정한다

JWTPermalink

• JWT 로 전달되는 토큰을 검증하기 위한 JwtDecoder, BearerTokenAuthenticationFilter, JwtAuthenticationProvider 등의 클래스 모델들을 제공한다
• 자체 검증 프로세스를 지원한다

OpaquePermalink

• 인가서버의 introspection 엔드 포인트로 검증할 수 있는 Opaque 토큰을 지원한다
• 실시간으로 토큰의 활성화 여부를 확인할 수 있다

✓ 의존성 추가Permalink

• 리소스 서버를 지원하는 코드는 대부분 spring-security-oauth2-resource-server 에 들어있다. 그러나 JWT를 디코딩하고 검증하는 로직은 spring-security-oauth2-jose 에 있다. 따라서 리소스 서버가 사용할 Bearer 토큰을 JWT로 인코딩한다면 두 모듈이 모두 필요하다.

  dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-security'
    implementation 'org.springframework.boot:spring-boot-starter-web'
    implementation 'org.springframework.boot:spring-boot-starter-oauth2-resource-server'
    testImplementation 'org.springframework.boot:spring-boot-starter-test'
    testImplementation 'org.springframework.security:spring-security-test'
  }
  

2. application.yml / OAuth2ResourceServerPropertiesPermalink

환경설정 파일 구성Permalink

1. application. yml 환경설정 파일에 아무런 설정을 하지 않고 기동결과를 확인한다
2. application. yml 환경설정 파일에 OAuth2 ResourceServer 기본설정 후 기동결과 확인한다

OAuth2ResourceServerProperties (prefix = “spring.security.oauth2.resourceserver“)Permalink

• jwkSetUri 은 인가 서버에서 서명한 토큰의 위치를 나타낸다
• issuerUri 는 인가서버의 위치를 나타낸다
• publicKeyLocation 은 공개키를 가지고 있는 파일의 위치를 나타낸다
• jwsAlgorithm 은 JWT 토큰을 서명하기 위한 알고리즘을 나타낸다
• IntrospectionUri 는 토큰을 검증하기 위한 introspection 엔드 포인트를 나타낸다

application. yml 설정Permalink

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:8080/realms/oauth2
          jwk-set-uri: http://localhost:8080/realms/oauth2/protocol/openid-connect/certs

• issuer-uri = http://localhost:8080는 인가 서버가 발급할 JWT 토큰의 iss 클레임에 추가되는 값으로서 발급자를 나타낸다.
• jwk-set-uri = http://localhost:8080/oauth2/jwks는 인가 서버가 발급한 JWT 토큰의 공개키 정보를 검색할 수 있는 엔드포인트를 나타낸다.
• 리소스 서버는 자체 검증 설정에도 이 속성을 사용하며, 이 속성으로 인가 서버의 공개키를 찾고, 건내 받은 JWT의 유효성을 검사한다.

인가 서버 메타데이터 엔드포인트Permalink

• issuer-uri 프로퍼티를 사용하려면 인가 서버가 지원하는 엔드포인트는 반드시 셋 중 하나여야 한다.
  • https://localhost:8080/issuer/.well-known/openid-configuration
  • https://localhost:8080/.well-known/openid-configuration/issuer
  • https://localhost:8080/.well-known/oauth-authorization-server/issuer
• 이 엔드포인트는 Provider 설정 엔드포인트 또는 인가 서버 메타데이터 엔드포인트라고 한다.

ResourceServer#Jwt application.yml 설정 항목Permalink

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:8080/realms/oauth2 # 서비스 공급자 위치
          jwk-set-uri: http://localhost:8080/realms/oauth2/protocol/openid-connect/certs # OAuth 2.0 JwkSetUri 엔드 포인트
          jws-algorithms: RSA256 # OAuth 2.0 JWS 서명 알고리즘
          audiences: http://localhost:8081 # 수신자 위치
          public-key-location: classpath:certs/publicKey.txt # OAuth 2.0 JWS 검증을 위한 PublicKey 파일 위치

• 위 속성 중에 issuer-uri 혹은 jwk-set-uri 한 개는 반드시 필요하고 나머지 속성은 필요시 설정하면 된다

3. AuthenticationEntryPointPermalink

4. 자동설정에 의한 초기화 과정Permalink