ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • JHipster 시리즈 4화 - Spring Security와 JHipster의 인증 구조 이해
      언어 및 프레임워크/JHipster 2025. 5. 9. 15:48
      728x90

      JHipster의 기본 보안 아키텍처인 Spring Security 기반 구조를 이해하고, JWT와 OAuth2 인증 방식의 차이, Keycloak 연동 실습까지 실전 중심으로 살펴봅니다.

      보안 구조는 단순히 로그인 UI 그 이상이다

      보안은 모든 웹 애플리케이션의 뼈대입니다.
      JHipster는 Spring Security를 기반으로 한 인증/인가 체계를 자동 구성해주며, 실제 서비스 배포 시까지 보안 이슈 없이 시작할 수 있도록 지원합니다.

      특히 개발 초기엔 기본 설정을 활용하고, 프로젝트가 커질수록 보안 아키텍처를 커스터마이징하는 방식으로 접근하게 됩니다.

      JHipster가 지원하는 인증 방식

      인증 방식 설명 추천 상황

      JWT JSON Web Token 기반 토큰 인증 대부분의 SPA, 모바일 앱
      OAuth2 외부 인증 서버(Keycloak, Okta 등) 연동 엔터프라이즈 환경, 통합 인증
      Session 전통적인 JSESSIONID 기반 세션 인증 일부 레거시 시스템 통합 시

      기본값은 JWT입니다. 설치 시 아래처럼 선택 가능합니다:

      Which type of authentication would you like to use?
→ JWT authentication (stateless, with a token)

      Spring Security 구조 요약

      JHipster의 인증은 다음과 같은 Spring Security 흐름으로 작동합니다.

      1. 사용자가 로그인 요청 (POST /api/authenticate)
      2. 백엔드가 사용자 인증 후 JWT 토큰 발급
      3. 클라이언트가 이후 요청 시 헤더에 Authorization: Bearer <토큰> 포함
      4. 백엔드는 JWTFilter에서 토큰 검증 → SecurityContext에 인증 정보 저장
      // 핵심 필터: JWTFilter.java
String jwt = resolveToken(request);
if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt)) {
    Authentication authentication = tokenProvider.getAuthentication(jwt);
    SecurityContextHolder.getContext().setAuthentication(authentication);
}

      JWT의 장점과 주의점

      장점:

      • 서버 무상태(stateless) 처리 가능 → 확장성 ↑
      • 인증 서버 분리 용이
      • 모바일, SPA 환경에 최적화

      주의점:

      • 토큰 탈취 시 대응 어려움 → HTTPS 필수
      • 로그아웃 처리 복잡 → 토큰 블랙리스트 DB 도입 고려
      • 토큰 크기 커짐 → 응답 최적화 필요

      Role 기반 인가 (권한 제어)

      JHipster는 다음과 같은 권한(Role)을 기본 제공합니다:

      • ROLE_USER
      • ROLE_ADMIN

      컨트롤러 단에서 다음과 같이 제한 가능합니다.

      @PreAuthorize("hasRole('ADMIN')")
@GetMapping("/admin-only")
public ResponseEntity<String> adminEndpoint() {
    return ResponseEntity.ok("관리자 전용 영역입니다.");
}

      React UI에서도 같은 권한을 기준으로 조건부 렌더링이 가능합니다:

      {hasAnyAuthority('ROLE_ADMIN') && (
  <AdminPanel />
)}

      실전 연동: Keycloak과 OAuth2 통합

      Keycloak은 오픈소스 인증 서버로, JHipster와의 통합이 매우 잘 되어 있습니다.

      설정 흐름

      1. application.yml에 Keycloak 설정 추가
      2. SecurityConfiguration.java에서 OAuth2LoginConfigurer 활성화
      3. Keycloak에 Client 등록 후 Client ID/Secret 설정
      4. 프론트엔드에서 /oauth2/authorization/keycloak로 리다이렉션

      예시 설정 (application.yml)

      spring:
  security:
    oauth2:
      client:
        registration:
          keycloak:
            client-id: jhipster-client
            client-secret: <secret>
            scope: openid, profile, email
        provider:
          keycloak:
            issuer-uri: http://localhost:8080/realms/jhipster

      연동 후 기대 효과

      • LDAP/SSO 연계 가능
      • Google, GitHub OAuth 연동도 가능
      • 사용자 정보 자동 매핑 가능

      실전 보안 팁

      항목 실전 전략

      JWT 만료 시간 짧게 설정 + Refresh Token 전략 고려
      사용자 인증 실패 로깅 보안 감사용 Log 수집 설정 필수
      보안 테스트 Postman, curl로 테스트 / 무단 접근 시도 차단 확인
      보안 설정 커스터마이징 CORS, CSRF, 토큰 필터 순서 주의
      Role 확장 프로젝트별 ROLE_MANAGER, ROLE_OPERATOR 등 계층화 전략 수립 필요

      보안 구조 유지보수 전략

      • .yo-rc.json에서 인증 방식 변경 가능 (재생성 가능하나 주의)
      • 사용자 엔티티에 추가 필드가 생기면 UserDTO, UserDetailsService 커스터마이징 필요
      • OAuth2는 Keycloak, Okta 등 외부 시스템 업데이트 정책 따라 주기적 점검 필요

      마치며 – 보안도 자동화의 시대

      JHipster는 단순한 로그인 폼을 넘어서,
      Spring Security 기반 인증/인가 전반을 자동 구성해주는 훌륭한 스타터입니다.

      이 구조를 정확히 이해하면,

      • 인증 방식 변경
      • 사용자 도메인 확장
      • 외부 인증 연동

      까지 모두 사내 규칙에 맞춰 유연하게 확장 가능합니다.

      다음 화 예고

      JHipster 시리즈 5화 - React 프론트엔드 커스터마이징 실전 가이드

      JHipster가 자동 생성한 React UI를 어떻게 커스터마이징할 수 있는지, 페이지 구조와 라우팅, Redux 구조까지 단계적으로 살펴봅니다.

      728x90

      '언어 및 프레임워크 > JHipster' 카테고리의 다른 글

      JHipster 시리즈 5화 - React 프론트엔드 커스터마이징 실전 가이드  (0) 2025.05.12
      JHipster 시리즈 3화 - JDL을 이용한 Entity 모델링과 CRUD 생성기 실습  (0) 2025.05.07
      JHipster 시리즈 2화 - JHipster 설치와 프로젝트 생성 – 모놀리식 앱 실습  (1) 2025.05.05
      JHipster 시리즈 1화 - JHipster란 무엇인가?  (1) 2025.05.02

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바