찾다
백엔드 개발GolangJWT 인증 이해: Spring Security&#s 아키텍처 및 Go 구현

JWT 상태 비저장 인증(여기에서 사용 가능)을 설정한 후 핵심 구성 요소와 해당 상호 작용을 식별하여 Spring Security의 추상화에서 어떤 일이 발생하는지 이해하고 싶었습니다. 이 탐색을 더욱 흥미롭게 만들기 위해 표준 HTTP 라이브러리를 사용하여 Go에서 최소 버전을 다시 구현했습니다. 등록, 토큰 생성, 보호된 리소스 액세스라는 세 가지 핵심 흐름을 세분화하고 이를 Go에서 다시 구축함으로써 Spring Security의 인증 패턴을 더 간단한 구성 요소에 매핑하기 시작했습니다.

이 게시물은 특히 인증보다는 인증 흐름(시스템이 사용자 신원을 확인하는 방법)에 중점을 둡니다. Spring Security 아키텍처의 다양한 구성 요소를 통해 요청을 추적하는 시퀀스 다이어그램을 사용하여 흐름을 살펴보겠습니다.

주요 구성품

시스템은 세 가지 엔드포인트를 제공합니다.

  1. 사용자 등록: 신규 사용자의 사용자 이름과 비밀번호를 허용합니다
  2. 토큰 생성(로그인): 사용자가 유효한 자격 증명으로 성공적으로 로그인하면 JWT 토큰을 생성합니다
  3. 보호된 액세스: 인증된 사용자가 토큰을 사용하여 보호된 리소스에 액세스할 수 있습니다. getAuthenticatedUser 엔드포인트는 인증된 토큰 보유자의 프로필 정보를 반환하는 예시로 사용됩니다

다음 섹션에서는 각 흐름에 관련된 핵심 구성 요소를 각 시퀀스 다이어그램과 함께 설명합니다.

등록 흐름

Understanding JWT Authentication: Spring Security

사용자 이름과 비밀번호가 포함된 등록 요청은 Spring Security 필터 체인을 통과합니다. 여기서 등록 엔드포인트는 SecurityConfiguration에서 인증을 요구하지 않도록 구성되었으므로 최소한의 처리가 발생합니다. 그런 다음 요청은 URL 패턴을 기반으로 UserController의 적절한 메서드로 라우팅되는 Spring의 DispatcherServlet을 통해 이동합니다. 요청은 UserController의 등록 엔드포인트에 도달하며, 여기에 사용자 정보는 해싱된 비밀번호

와 함께 저장됩니다.

토큰 생성 흐름

Understanding JWT Authentication: Spring Security

사용자 이름과 비밀번호가 포함된 로그인 요청은 Spring Security 필터 체인을 통과합니다. 여기서 이 엔드포인트는 SecurityConfiguration에서 인증을 요구하지 않도록 구성되므로 최소한의 처리가 발생합니다. 요청은 Spring의 DispatcherServlet을 통해 AuthenticationManager에 위임되는 UserController의 로그인 끝점으로 이동합니다. ApplicationConfiguration에 정의된 구성된 빈을 사용하여 AuthenticationManager는 저장된 자격 증명에 대해 제공된 자격 증명을 확인합니다. 인증에 성공한 후 UserController는 JwtService를 사용하여 생성 시간과 같은 사용자 정보 및 메타데이터가 포함된 JWT 토큰을 생성합니다. 이 토큰은 후속 인증 요청을 위해 클라이언트에 반환됩니다.

보호된 리소스 액세스 흐름

성공적인 인증 흐름(200)

Understanding JWT Authentication: Spring Security

인증 흐름 실패(401)

Understanding JWT Authentication: Spring Security

Authorization 헤더에 JWT 토큰이 포함된 요청이 도착하면 JwtService를 사용하여 토큰을 처리하는 맞춤 정의 OncePerRequestFilter인 JwtAuthenticationFilter를 통과합니다. 유효한 경우 필터는 ApplicationConfiguration에 구성된 UserDetailsService를 통해 사용자를 검색하고 SecurityContextHolder에 인증을 설정합니다. 토큰이 누락되었거나 유효하지 않은 경우 필터는 인증을 설정하지 않고 요청을 계속하도록 허용합니다.

체인 후반부에 AuthorizationFilter는 SecurityContextHolder를 통해 요청이 제대로 인증되었는지 확인합니다. 누락된 인증을 감지하면 AccessDeniedException이 발생합니다. 이 예외는 사용자가 익명인지 확인하고 SecurityConfiguration에 구성된 JwtAuthenticationEntryPoint에 위임하여 401 Unauthorized 응답을 반환하는 ExceptionTranslationFilter에 의해 포착됩니다.

모든 필터가 통과하면 요청은 Spring의 DispatcherServlet에 도달하여 이를 UserController의 getAuthenticatedUser 엔드포인트로 라우팅합니다. 이 엔드포인트는 필터 체인 프로세스 중에 채워진 SecurityContextHolder에서 인증된 사용자 정보를 검색합니다.

참고: Spring Security는 다양한 보안 문제를 처리하기 위해 풍부한 필터 생태계와 전문 구성 요소를 사용합니다. 핵심 인증 흐름을 이해하기 위해 JWT 토큰 검증 및 사용자 인증의 핵심 플레이어에만 집중했습니다.

Go 구현: 구성 요소 매핑

Go 구현은 주요 Spring Security 구성 요소에 매핑되는 단순화된 아키텍처를 통해 유사한 기능을 제공합니다.

필터체인

  • Spring Security 필터 체인의 최소 버전 제공
  • 요청마다 필터를 순차적으로 처리합니다
  • 스레드 안전을 위해 요청별 체인 인스턴스(VirtualFilterChain)를 사용합니다.

디스패처

  • Spring의 DispatcherServlet에 매핑
  • 보안 필터 처리 후 적절한 핸들러로 요청 라우팅

인증 컨텍스트

  • Go의 컨텍스트 패키지를 사용하여 요청별 인증 상태를 저장합니다
  • Spring의 SecurityContextHolder에 매핑

Jwt필터

  • Spring의 JwtAuthenticationFilter와 직접 동일
  • JWT 토큰 추출 및 유효성 검사
  • 성공적인 검증 시 인증 컨텍스트를 채웁니다

인증필터

  • Spring AuthorizationFilter의 단순화된 버전
  • 본인인증에만 집중
  • 인증 컨텍스트를 확인하고 누락된 경우 401을 반환합니다

Jwt서비스

  • Spring의 JwtService와 유사
  • 토큰 생성 및 검증 처리
  • 동일한 핵심 JWT 작업을 사용하지만 구성이 더 간단합니다

테스트 범위

두 구현 모두 주요 인증 시나리오를 확인하는 통합 테스트(auth_test.go 및 AuthTest.java)를 포함합니다.

등록 흐름

  • 유효한 자격 증명으로 사용자 등록 성공
  • 중복된 ​​사용자 이름 등록 시도

로그인 흐름

  • 유효한 자격 증명으로 로그인 성공
  • 존재하지 않는 사용자 이름으로 로그인 시도
  • 잘못된 비밀번호로 로그인 시도

자원 액세스 보호

  • 유효한 토큰으로 접속 성공
  • 인증 헤더 없이 액세스 시도
  • 잘못된 토큰 형식으로 액세스 시도
  • 만료된 토큰을 사용한 액세스 시도
  • 유효한 토큰 형식으로 접속을 시도했지만 존재하지 않는 사용자

Java 구현에는 Spring Security의 필터 체인을 통해 각 테스트 시나리오의 흐름을 설명하는 자세한 설명이 포함되어 있습니다. 이러한 동일한 흐름은 동등한 구성 요소를 사용하여 Go 구현에서 복제됩니다.

여행 요약

Spring Security의 JWT 인증을 흐름과 테스트 케이스로 나누어 살펴봤습니다. 그런 다음 이러한 패턴을 Go 구성 요소에 매핑했습니다. 통합 테스트를 통해 요청이 Spring Security의 필터 체인 및 구성 요소를 통해 어떻게 흐르는지 보여주었습니다. 이러한 패턴의 간단한 버전을 구축하는 것은 Spring Security의 디자인을 이해하는 데 도움이 되었습니다. 테스트를 통해 두 구현 모두 동일한 방식으로 인증을 처리한다는 것이 입증되었습니다. 분석, 테스트, 재구축을 통해 Spring Security의 인증이 어떻게 작동하는지 더 깊이 이해하게 되었습니다.

위 내용은 JWT 인증 이해: Spring Security&#s 아키텍처 및 Go 구현의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
Go Language Pack 가져 오기 : 밑줄과 밑줄이없는 밑줄의 차이점은 무엇입니까?Go Language Pack 가져 오기 : 밑줄과 밑줄이없는 밑줄의 차이점은 무엇입니까?Mar 03, 2025 pm 05:17 PM

이 기사에서는 GO의 패키지 가져 오기 메커니즘을 설명합니다. 명명 된 수입 (예 : 가져 오기 & quot; fmt & quot;) 및 빈 가져 오기 (예 : import _ & quot; fmt & quot;). 명명 된 가져 오기는 패키지 내용을 액세스 할 수있게하고 빈 수입은 t 만 실행합니다.

MySQL 쿼리 결과 목록을 GO 언어로 사용자 정의 구조 슬라이스로 변환하는 방법은 무엇입니까?MySQL 쿼리 결과 목록을 GO 언어로 사용자 정의 구조 슬라이스로 변환하는 방법은 무엇입니까?Mar 03, 2025 pm 05:18 PM

이 기사에서는 MySQL 쿼리 결과를 GO 구조 슬라이스로 효율적으로 변환합니다. 수동 구문 분석을 피하고 최적의 성능을 위해 데이터베이스/SQL의 스캔 방법을 사용하는 것을 강조합니다. DB 태그 및 Robus를 사용한 구조물 필드 매핑에 대한 모범 사례

Beego 프레임 워크에서 페이지간에 단기 정보 전송을 구현하는 방법은 무엇입니까?Beego 프레임 워크에서 페이지간에 단기 정보 전송을 구현하는 방법은 무엇입니까?Mar 03, 2025 pm 05:22 PM

이 기사에서는 웹 애플리케이션에서 페이지 간 데이터 전송에 대한 Beego의 NewFlash () 기능을 설명합니다. NewFlash ()를 사용하여 컨트롤러간에 임시 메시지 (성공, 오류, 경고)를 표시하여 세션 메커니즘을 활용하는 데 중점을 둡니다. 한계

GO에서 제네릭에 대한 사용자 정의 유형 제약 조건을 어떻게 정의 할 수 있습니까?GO에서 제네릭에 대한 사용자 정의 유형 제약 조건을 어떻게 정의 할 수 있습니까?Mar 10, 2025 pm 03:20 PM

이 기사에서는 GO의 제네릭에 대한 사용자 정의 유형 제약 조건을 살펴 봅니다. 인터페이스가 일반 함수에 대한 최소 유형 ​​요구 사항을 정의하여 유형 안전 및 코드 재사성을 향상시키는 방법에 대해 자세히 설명합니다. 이 기사는 또한 한계와 모범 사례에 대해 설명합니다

이동 중에 테스트를 위해 모의 개체와 스터브를 작성하려면 어떻게합니까?이동 중에 테스트를 위해 모의 개체와 스터브를 작성하려면 어떻게합니까?Mar 10, 2025 pm 05:38 PM

이 기사는 단위 테스트를 위해 이동 중에 모의와 스터브를 만드는 것을 보여줍니다. 인터페이스 사용을 강조하고 모의 구현의 예를 제공하며 모의 집중 유지 및 어설 션 라이브러리 사용과 같은 모범 사례에 대해 설명합니다. 기사

편리하게 GO 언어로 파일을 작성하는 방법?편리하게 GO 언어로 파일을 작성하는 방법?Mar 03, 2025 pm 05:15 PM

이 기사는 OS.WriteFile (작은 파일에 적합)과 OS.OpenFile 및 Buffered Writes (큰 파일에 최적)를 비교하여 효율적인 파일 쓰기를 자세히 설명합니다. 강력한 오류 처리, 연기 사용 및 특정 오류 확인을 강조합니다.

GO에서 단위 테스트를 어떻게 작성합니까?GO에서 단위 테스트를 어떻게 작성합니까?Mar 21, 2025 pm 06:34 PM

이 기사는 GO에서 단위 테스트 작성, 모범 사례, 조롱 기술 및 효율적인 테스트 관리를위한 도구를 다루는 것에 대해 논의합니다.

추적 도구를 사용하여 GO 응용 프로그램의 실행 흐름을 이해하려면 어떻게해야합니까?추적 도구를 사용하여 GO 응용 프로그램의 실행 흐름을 이해하려면 어떻게해야합니까?Mar 10, 2025 pm 05:36 PM

이 기사는 추적 도구를 사용하여 GO 응용 프로그램 실행 흐름을 분석합니다. 수동 및 자동 계측 기술, Jaeger, Zipkin 및 OpenTelemetry와 같은 도구 비교 및 ​​효과적인 데이터 시각화를 강조합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

DVWA

DVWA

DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는

Atom Editor Mac 버전 다운로드

Atom Editor Mac 버전 다운로드

가장 인기 있는 오픈 소스 편집기

Dreamweaver Mac版

Dreamweaver Mac版

시각적 웹 개발 도구

PhpStorm 맥 버전

PhpStorm 맥 버전

최신(2018.2.1) 전문 PHP 통합 개발 도구

SecList

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.