2_minus.log

[혼공학습단] 1주차

Sat, 06 Jul 2024 12:41:48 GMT

❗기본숙제

p.51 확인 문제 3번

프로그램이 실행되려면 반드시 [ ]에 저장되어 있어야 합니다.

프로그램이 실행되려면 메모리에 저장되어 있어야합니다.

p.65 확인 문제 3번

$1101_{(2)}$의 음수를 2의 보수 표현법으로 구해 보세요.

1101 -> 0과 1 뒤집기 0010 -> 1 더하기 $1101_{(2)}$의 음수는 $0011_{(2)}$ 입니다.

✨ 추가숙제
- p.100 스택과 큐의 개념을 정리하기
스택(Stack)

후입선출(LIFO : Last-In First-Out)
- 가장 최근에 들어온 데이터가 가장 먼저 나감
스택의 용도
- 되돌리기
- 함수호출
- 괄호검사
- 계산기 : 후위표기식 계산, 중위 표기식의 후위 표기식 변환
- 미로탐색

큐(Queue)

선입선출(FIFO : First-In First-Out)

가장 먼저 들어온 데이터가 가장 먼저 나감
큐의 용도
- 컴퓨터의 작업 큐 : 버퍼링
- 시뮬레이션의 대기열
- 통신에서의 데이터 패킷들의 모델링에 이용

github 연동 오류 : github 계정의 연결 불안정, 계정 접근 제한

Thu, 20 Jun 2024 14:23:20 GMT

nteliJ 에서 push를 해야 할 때 마다 github 로그인 을 요구하고, 연결 후에는 권한이 없어 거부되는 remote: Permission to {project_URL} denied to {Github_username}. unable to access {project_URL}: The requested URL returned error: 403 메세지가 반복되어 push가 불가능한 상황.

git bash: git remote 프로젝트에 재연결시키기로는 해결이 되지 않아 github 계정을 연동하는 방법을 다르게 했다. 일반적인 웹에서 로그인하여 연결시키는 것이 아닌 SSH 방식으로 연결.

먼저 gitbash에서 ssh를 발급받기 위한 키를 생성받는다. $ ssh-keygen -t ed25519 -C "your_email@example.com"

그 후 콘솔에서 경로 설정, 비밀번호 설정을 거친 뒤 (✨비밀번호는 입력되는 게 보이지 않아야 정상) ssh키를 발급받은 경로에 가서 이 아이들이 예쁘게 있는지 확인하고

.pub 확장자 파일을 메모장 등으로 열어준다. 내부에 보이는 코드를 복사 한 뒤 github > 내 프로필 사진 클릭 > Settings > SSH and GPG keys > New SSH key

key에 붙여넣기를 한 후 Add SSH key를 누르고 이런 key가 생성이 되었다면 성공.

생성이 되었다면 앞으로 git 원격 연결을 할 때,

이렇게 있어보이는 ssh 탭에서 멋있는 URL을 기존 연결 방식 처럼 사용하면 되겠다.

🫠

Docker Container 무한 재시작 현상

Wed, 19 Jun 2024 14:32:18 GMT

오늘의 학습 🌠

docker 실행시 cmd에 mysql 생성 안 되는 에러 해결

mysql-data 파일 권한 설정.
- sudo chown -R 1000:1000 ./db/mysql/data
- 권한 설정은 정상적으로 들어갔지만 여전히 파일을 찾지 못하거나 권한을 부여받지 못함. = 실패 😭
📌 명시적 접근 설정.
docker-compose.yml 파일 마지막 줄에 추가

-> volume:  
mysql-data:

제대로 파일을 찾고 권한을 부여 받았지만 타 팀원분들은 이 볼륨 세션을 등록할 경우 접근권한 없음 에러 발생. = 규성님만 성공 🙄 = 결과적으로 실패😭

📌 파일 중복 문제.

서로 다른 두개의 파일이 존재하기에 하위 폴더를 삭제 후 docker 재실행 = 실패 😭
💡 프로젝트 제거 후 다시 받아오기
- 프로젝트 파일의 모든 내용을 제거하고 새로 프로젝트 파일을 생성하여 다시 clone.
  - 파일이 삭제된 후 다시 다운로드 된 경로를 살펴보니 오류가 존재하던 때의 파일 경로와 다른 것을 발견.
    정확한 파일 경로로 리빌드 되면서 오류 해결.
    = 성공 😁

application.yml OAuth 오류 해결 과정

해당 사진의 오류로 애플리케이션 구성의 문제임을 확인함.

카카오 provider Id를 찾을 수 없음을 확인

code With Me를 통해 문제점 파악

오래 걸렸지만 원인은 들여쓰기 문제였음😭

🐱‍🏍--- ---🤸🏻‍♀️ ~~~ 야~~호~

테스트 코드 작성하기

Tue, 18 Jun 2024 01:05:49 GMT

❗필수 구현 기능

🆕 AOP 추가하기
- 모든 API(Controller)가 호출될 때, Request 정보(Request URL, HTTP Method)를 @Slf4J Logback 라이브러리를 활용하여 Log로 출력해주세요.
- 컨트롤러 마다 로그를 출력하는 코드를 추가하는것이 아닌, AOP로 구현해야만 합니다.
```
@Pointcut("execution(* com.prac.music.domain.board.controller.*.*(..))")
private void board() {}
```

@Pointcut("execution(* com.prac.music.domain.comment.controller..(..))") private void comment() {}

@Pointcut("execution(* com.prac.music.domain.like.controller..(..))") private void like() {}

@Pointcut("execution(* com.prac.music.domain.mail.controller..(..))") private void mail() {}

@Pointcut("execution(* com.prac.music.domain.user.controller..(..))") private void user() {}

@Around("board() || comment() || like() || mail() || user()" ) public Object execute(ProceedingJoinPoint joinPoint) throws Throwable { log.info(joinPoint.getSignature().toShortString() + " start");

    try {

        return joinPoint.proceed();

    } finally {

        log.info(joinPoint.getSignature().toShortString() + " end");

    }
}

![](https://velog.velcdn.com/images/2_minus/post/5d5741fc-ef56-465c-bdf3-c0d4984289d5/image.png)

- api가 실행될때, 끝날때 api의 이름을 출력하는 log 
  - domain 방식으로 설계된 프로젝트여서 각각의 controller를 지정하는 @Pointcut이 많은 것이 아닌가라는 생각이 든다.




- [X]  **🆕 DTO, Entity Test 추가하기**
    - `@Test` 를 사용해서 DTO 와 Entity Test 를 추가합니다.
    - User, Post, Comment, DTO 에 존재하는 메서드들에 대해서 “**단위 테스트”** 를 추가합니다.
    - 특정 상황에 예외가 정상적으로 발생하고 있는지도 테스트 합니다.
```java
@Test
    @DisplayName("User Entity Test")
    void test1() throws IOException {
        // given
        SignupRequestDto requestDto = new SignupRequestDto(
                "testId1",
                "testPassword1!",
                "testName",
                "test@email.com",
                "test Introduce"
        );

        MultipartFile file = null;

        // when
        User user = userService.createUser(requestDto, file);

        // then
        assertEquals(requestDto.getUserId(), user.getUserId());
        assertTrue(passwordEncoder.matches(requestDto.getPassword(), user.getPassword()));
        assertEquals(requestDto.getName(), user.getName());
        assertEquals(requestDto.getEmail(), user.getEmail());
        assertEquals(requestDto.getIntro(), user.getIntro());
    }

given 에 입력값, when에 생성 메서드(Post api)를 동작시켜 비교시켜 테스트
- 게시글과 댓글은 종속된 엔티티가 테스트 코드 내에서 제대로 존재하지 않아서 통과하지 못하는 것으로 보인다.

🆕 Controller Test 추가하기
- @WebMvcTest 를 사용하여 Controller Test 를 추가합니다.
- Post, Comment Controller 에 대해서 테스트를 추가합니다.
- 특정 상황에 예외가 정상적으로 발생하고 있는지도 테스트 합니다.

🛠️ 오류해결

✨ JpaAuditing 관련 어노테이션 부착 후 해결

@WebMvcTest(
        controllers = UserController.class,
        excludeFilters = {
                @ComponentScan.Filter(
                        type = FilterType.ASSIGNABLE_TYPE,
                        classes = SecurityConfiguration.class
                )
        }
)
@MockBean(JpaMetamodelMappingContext.class)
class UserControllerTest {
    private MockMvc mvc;
    private Principal mockPrincipal;

    @Autowired
    private WebApplicationContext context;

    @Autowired
    private ObjectMapper objectMapper;

    private PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

    @MockBean
    private UserService userService;

    private JwtService jwtService = new JwtService();

    @BeforeEach
    public void setup() {
        mvc = MockMvcBuilders.webAppContextSetup(context)
                .apply(springSecurity(new MockSpringSecurityFilter()))
                .build();

    }

    @Test
    @DisplayName("Signup Request")
    void test1() throws Exception {

        //given
        SignupRequestDto requestDto = SignupRequestDto.builder()
                .userId("testId1")
                .password("testPassword1!")
                .name("testName")
                .email("test@email.com")
                .intro("test Introduce")
                .build();

        MockMultipartFile file = new MockMultipartFile(
                "file",
                "profileImage.png",
                "multipart/form-data",
                "some image content".getBytes()
        );

        MockMultipartFile user = new MockMultipartFile(
                "user",
                "",
                "application/json",
                objectMapper.writeValueAsBytes(requestDto)
        );

        // when - then
        mvc.perform(multipart("/api/users/signup")
                        .file(user)
                        .file(file))
                .andExpect(status().isOk())
                .andDo(print());
    }

    @Test
    @DisplayName("Login Request")
    public void test2() throws Exception {

        //given
        LoginRequestDto requestDto = LoginRequestDto.builder()
                .userId("testId1")
                .password("testPassword1!")
                .build();

        String jsonRequest = objectMapper.writeValueAsString(requestDto);

        //when - then
        mvc.perform(post("/api/users/login")
                        .contentType("application/json")
                        .content(jsonRequest))
                .andExpect(status().isOk())
                .andDo(print());
    }

    @Test
    @DisplayName("Logout Request")
    public void test3() throws Exception {

        // given
        User user = User.builder()
                .userId("testId1")
                .build();
        UserDetailsImpl userDetails = new UserDetailsImpl(user);
        mockPrincipal = new UsernamePasswordAuthenticationToken(userDetails, "");

        // when
        userService.logoutUser(userDetails.getUser());

        // then
        mvc.perform(put("/api/users/logout")
                        .principal(mockPrincipal))
                .andExpect(status().isOk())
                .andDo(print());
    }

    @Test
    @DisplayName("Signout Request")
    public void test4() throws Exception {

        // given
        User user = User.builder()
                .id(1L)
                .userId("testId1")
                .password("testPassword1!")
                .name("testName")
                .email("test@email.com")
                .intro("test Introduce")
                .status(UserStatusEnum.NORMAL)
                .refreshToken("fidsbafilubasdjiklfboia")
                .profileImage(null)
                .build();

        SignoutRequestDto requestDto = SignoutRequestDto.builder()
                .password("testPassword1!")
                .build();

        UserDetailsImpl userDetails = new UserDetailsImpl(user);
        mockPrincipal = new UsernamePasswordAuthenticationToken(userDetails, "");
        // when

        // then
        mvc.perform(put("/api/users/signout")
                        .principal(mockPrincipal)
                        .contentType(MediaType.APPLICATION_JSON)
                        .content(objectMapper.writeValueAsString(requestDto)))
                .andExpect(status().isOk())
                .andDo(print());
    }


}

JpaAuditing 관련 오류 외에도 기존 프로젝트에서 SignOut api 가 실행이 안되는 500코드 오류 발생

기존 requestDto의 필드가 하나 밖에 없어서 생기는 오류였음

@Jacksonized 어노테이션으로 해결

🆕 Service Test 추가하기
- @ExtendWith 를 사용하여 Service Test 를 추가합니다.
- User, UserDetails, Post, Comment Service 에 대해서 “통합 테스트” 를 추가합니다.
- 단순 DB CRUD 와 별개로 코드 레벨에서의 비즈니스 로직에 대한 테스트가 필요한 경우라면 “단위 테스트”를 추가합니다.
  - ex) 비밀번호가 암호화 되었는가
- 특정 상황에 예외가 정상적으로 발생하고 있는지도 테스트 합니다.

package com.prac.music.service;

import com.prac.music.domain.board.dto.BoardRequestDto;
import com.prac.music.domain.board.dto.BoardResponseDto;
import com.prac.music.domain.board.service.BoardService;
import com.prac.music.domain.user.entity.User;
import com.prac.music.domain.user.entity.UserStatusEnum;
import com.prac.music.domain.user.service.JwtService;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import org.junit.jupiter.api.extension.ExtendWith;
import org.mockito.InjectMocks;
import org.mockito.Mock;
import org.mockito.junit.jupiter.MockitoExtension;
import org.springframework.web.multipart.MultipartFile;

import java.io.IOException;
import java.util.List;

import static org.hibernate.validator.internal.util.Contracts.assertNotNull;

@ExtendWith(MockitoExtension.class) // @Mock 사용을 위해 설정합니다.
public class BoardServiceTest {

    @Mock
    JwtService jwtService;

    @InjectMocks
    BoardService boardService;

    User user;

    @BeforeEach
    public void setUp() {
        user = User.builder()
                .id(1L)
                .userId("testId1")
                .password("testPassword1!")
                .name("testName")
                .email("test@email.com")
                .intro("test Introduce")
                .status(UserStatusEnum.NORMAL)
                .refreshToken(jwtService.createRefreshToken("testId1"))
                .profileImage(null)
                .build();

    }

    @Test
    @DisplayName("createBoard Success")
    void test1() throws IOException {
        //given
        BoardRequestDto requestDto = BoardRequestDto.builder()
                .title("test title")
                .contents("test contents")
                .build();
        List files = List.of();
        //when
        BoardResponseDto createdBoard = boardService.createBoard(requestDto, user, files);

        //then
        assertNotNull(createdBoard);
    }
}

@Setup 어노테이션으로 기존재해야할 엔티티를 미리 작성하고 테스트를 진행하는 방식으로 작성했다. 그런데 작성하고 보니 기존 Entity Test에서 진행했던 방식과 동일한 것으로 여겨져서 Entity Test를 더 단순하게 생각했어야 하는 구나 하고 생각했다.

Spring Boot : 메일 인증 기능 구현하기 (2)

Fri, 14 Jun 2024 01:27:14 GMT

지난 포스팅에서 Gmail SMTP에 관련된 설정을 완료했다.

이제 우리 서버에서 인증코드를 담은 메일을 전송하고, 그것으로 어떻게 사용자를 인증할 것인지에 대해 생각해 봐야한다.

메일 인증 기능 흐름

메일 전송

사용자 : 메일 입력 -> 서버 : 입력된 메일로 코드 전송

메일 검증

사용자 : 전송된 코드를 서버에 입력 -> 서버 : 입력 받은 코드와 발송한 코드가 일치하는 지 검증

고려사항

사용자에게 보낸 인증 코드를 검증하기 위해서는 서버에 발송된 코드를 저장 할 필요가 있다.
인증 코드는 한 가지만 유효하게 한다. : 재발송시 기존 코드는 무효화

기능 구현

Mail Entity

@Getter
@NoArgsConstructor
@Entity
@Table(name = "mail")
public class Mail extends BaseTimeEntity {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    @Column
    private Long id;
    // 인증 여부
    @Column
    private boolean status;
    // 메일 주소
    @Column
    private String email;
    // 인증 코드
    @Column
    private String code;
    // 사용자와 1대1 연결
    @OneToOne
    @JoinColumn(name = "user_id", nullable = false)
    private User user;

    @Builder
    public Mail(User user) {
        this.user = user;
        this.email = user.getEmail();
        this.code = "";
        this.status = false;
    }
    // 인증 코드 업데이트
    public void mailAddCode(String code) {
        this.code = code;
    }

id: 메일 엔티티의 고유키
status: 인증 여부 상태를 나타내는 필드
email: 메일을 발송한 메일 주소
code: 인증 코드
User: 인증 대상 사용자

MailController

@Slf4j
@RestController
@RequiredArgsConstructor
@RequestMapping("/api/users/email")
public class MailController {
    private final MailService mailService;
    // 메일 전송
    @PostMapping("/send")
    public ResponseEntity sendMail(@RequestBody MailRequestDto requestDto) throws MessagingException {
        mailService.sendMail(requestDto);
        return ResponseEntity.ok(requestDto.getEmail() + "로 인증코드가 발송되었습니다.");
    }
    // 메일 검증
    @PostMapping("/verify")
    public ResponseEntity verifyMail(@RequestBody VerifyRequestDto requestDto) {
        mailService.verifyMail(requestDto);
        return ResponseEntity.ok("입력하신 메일 " + requestDto.getEmail() + "이 정상적으로 인증되었습니다.");
    }
}

MailService

sendMail


    public void sendMail(MailRequestDto requestDto) {
        Mail mail = checkAndSaveMail(requestDto.getEmail());
        MimeMessage emailForm = createMailForm(mail);
        javaMailSender.send(emailForm);

    }

MailRequestDto 객체를 매개변수로 받는 sendMail 메서드

MailRequestDto.java

팀프로젝트 KPT 회고

Tue, 11 Jun 2024 23:26:15 GMT

Keep

서로 맡은 바를 잘 이루어 냈고 소통도 원활히 진행하여 서로의 진행사항을 잘 알았다.

Problem

코드 컨벤션이 잘 이루어지지 않아서 기능 역할 분배가 잘 이루어지지 않아서 아쉬웠다. 그리고 깃 이슈, 코멘트를 사용하지 못 해서 아쉬웠다.

Try

코드 컨벤션을 사전에 팀원들과 충분히 이야기한 후에 작업을 진행하는 것이 좋을 것 같다. 깃에 있는 기능들 comment 라던가 lssues 를 더 활용하는 방식으로 진행해면 좋을 것 같다.

Spring boot : 메일 인증 기능 구현하기 (1)

Mon, 10 Jun 2024 06:03:13 GMT

spring boot 프로젝트 중 회원가입 절차에 메일이 유효한지, 인증 절차를 추가하려고 한다. 그러려면 서버에서 메일을 발송해야 하는 방법이 필요. 방법 중 하나인 Gmail에서 제공하는 SMTP를 이용하려고 한다.

Gmail SMTP 설정

G메일에서 우측상단 톱니바퀴를 누르고, [ 모든 설정 보기 ] 버튼을 눌러줍니다. 전달 및 POP/IMAP 탭을 살펴보고 아래 사항을 확인해둡시다.

SMTP를 이용하려면, IMAP사용이 체크 되어 있어야 합니다. IMAP(Internet Message Access Protocol)은 메일을 읽어오는 클라이언트/서버 프로토콜인데, "발송" 기능과 관련이 있을까 싶긴 했는데, 아무튼 사용으로 체크해둡니다. 그러면, 아래처럼 상태: IMAP를 사용할 수 있습니다.로 표시됩니다. 구글 계정으로 들어갑니다.(SMTP 사용을 위한 인증을 진행해줘야 합니다.) 왼쪽 [보안] 메뉴를 선택하고, 2단계 인증을 진행해줘야 합니다. 저는 휴대폰을 이용해서 2단계 인증을 진행했습니다. 그리고 2단계 인증 메뉴를 선택하고 하위로 들어가보면, 하단에, "앱 비밀번호"라는 게 있습니다. 당장 클릭!

대충 MY-SMTP 정도로 이름을 지어서 [생성] 버튼을 클릭해주도록 합니다. 아래처럼, '기기용 앱 비밀번호'가 생성되는데, 잘 메모해두도록 합니다. 이 기기용 앱 비밀번호가 G메일 SMTP를 이용해서 메일링을 할 때 계정에 로그인하는 pw가 됩니다.

아래와 같이 MY-SMTP 라는 이름의 App이 생성되었습니다.

그리고 SMTP 발송에 필요한 정보들을 변수에 담아, 코딩해서 활용하시면 되지 않을까 싶습니다.

# GMAIL SMTP
spring.mail.host = smtp.gmail.com
spring.mail.port = 587
spring.mail.username = ${SMTP_USER}
spring.mail.password = ${SMTP_PASSWORD}
spring.mail.properties.mail.smtp.auth = true
spring.mail.properties.mail.smtp.starttls.enable = true

Refresh Token(with mySQL)

Fri, 07 Jun 2024 02:27:02 GMT

요 며칠간 refresh token을 어떻게 프로젝트에 적용 시킬까 고민을 열심히 하고 수많은 포스팅을 들락 거렸다. 머리를 싸매고, 약간 뒹굴거리며 생각해낸 방법

인증 성공 시 2가지 token을 생성

HttpResponse의 header 부분에 access token 과 refresh token을 추가

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) {
      User user = ((UserDetailsImpl) authResult.getPrincipal()).getUser();
      String userId = user.getUserId();

      // 토큰 생성시 유효기간 차이를 두고 생성
      String token = jwtService.createToken(userId);
      String refreshToken = jwtService.createRefreshToken(userId);

      // 헤더의 이름을 변경해서 2가지 토큰을 response header에 추가
      response.addHeader(JwtService.AUTHORIZATION_HEADER, token);
      response.addHeader(JwtService.REFRESH_TOKEN_HEADER, refreshToken);

      user.setRefreshToken(refreshToken);
      userRepository.save(user);
  }

동시에 생성된 refresh token을 사용자 엔티티에 추가 -> 데이터 베이스에 refresh token이 저장됨

이후 인가 단계에서 access token 만료시, refresh token에 대한 검증 단계를 추가 -> refresh token의 존재여부 (isNull) -> 사용자의 토큰 (DB) HttpResponse에 담겼던 토큰이 같은지

//JwtAuthorizationFilter.java
  protected void doFilterInternal(HttpServletRequest req, HttpServletResponse res, FilterChain filterChain) throws ServletException, IOException {
      ...
          String userRefreshToken = jwtService.substringToken(user.getRefreshToken());
          String refreshToken = jwtService.getRefreshJwtFromHeader(req);

          log.info("User's Refresh Token: " + userRefreshToken);
          log.info("response's Refresh Token: " + refreshToken);

          // 유저가 보유한 토큰과 httpservlet의 토큰이 같은지 비교
          if (userRefreshToken.equals(refreshToken)) {
              // 토큰이 만료된 경우
              if (jwtService.isTokenExpired(tokenValue)) {
                  // 리프레시 토큰이 유효한 경우, 새로운 토큰 생성
                  if (!jwtService.isRefreshTokenExpired(userRefreshToken)) {
                      jwtService.createToken(user.getUserId());
                      System.out.println("jwtService.createToken(user.getUserId()) = " + jwtService.createToken(user.getUserId()));
                      jwtService.createRefreshToken(user.getUserId());
                      log.info("새로운 토큰이 생성되었습니다.");
                      setAuthentication(claims.getSubject());
                      filterChain.doFilter(req, res);
                  } else {
                      // 리프레시 토큰도 만료된 경우
                      throw new IllegalArgumentException("다시 재로그인해주세요");
                  }
              } else {
                  // 토큰이 유효한 경우
                  setAuthentication(claims.getSubject());
              }
          } else {
              throw new IllegalArgumentException("토큰의 정보가 일치하지 않습니다.");
          }
      }
      ...

Refresh Token

Wed, 05 Jun 2024 07:06:49 GMT

Refresh token이 왜 필요한가

Access Token 만을 통한 인증 방식의 문제는 만일 제 3자에게 탈취당할 경우 보안에 취약하다는 점이다.

Access Token은 발급된 이후, 서버에 저장되지 않고 토큰 자체로 검증을 하며 사용자 권한을 인증하기 떄문에, Access Token이 탈취되면 토큰이 만료되기 전 까지, 토큰을 획득한 사람은 누구나 권한 접근이 가능해 지기 때문이다.

JWT는 발급한 후 삭제가 불가능하기 때문에, 접근에 관여하는 토큰에 유효시간을 부여하는 식으로 탈취 문제에 대해 대응을 하여야 한다.

이처럼 토큰 유효기간을 짧게하면 토큰 남용을 방지하는 것이 해결책이 될 수 있지만, 유효기간이 짧은 Token의 경우 그만큼 사용자는 로그인을 자주 해서 새롭게 Token을 발급받아야 하므로 불편하다는 단점이 있다. 그렇다고 무턱대고 유효기간을 늘리자면, 토큰을 탈취당했을 때 보안에 더 취약해지게 된다.

이때 “그러면 유효기간을 짧게 하면서 좋은 방법이 있지는 않을까?”라는 질문의 답이 바로 Refresh Token이다.

이름이 다르지만 형태 자체는 Refresh Token은 Access Token과 똑같은 JWT다. 단지 Access Token은 접근에 관여하는 토큰이고, Refresh Token은 재발급에 관여하는 토큰 이므로 행하는 역할이 다르다고 보면 된다.

예를 들면 처음에 로그인을 했을 때, 서버는 로그인을 성공시키면서 클라이언트에게 Access Token과 Refresh Token을 동시에 발급한다. 서버는 데이터베이스에 Refresh Token을 저장하고, 클라이언트는 Access Token과 Refresh Token을 쿠키, 세션 혹은 웹스토리지에 저장하고 요청이 있을때마다 이 둘을 헤더에 담아서 보낸다.

이 Refresh Token은 긴 유효기간을 가지면서, Access Token이 만료됐을 때 새로 재발급해주는 열쇠가 된다. 따라서 만일 만료된 Access Token을 서버에 보내면, 서버는 같이 보내진 Refresh Token을 DB에 있는 것과 비교해서 일치하면 다시 Access Token을 재발급하는 간단한 원리이다. 그리고 사용자가 로그아웃을 하면 저장소에서 Refresh Token을 삭제하여 사용이 불가능하도록 하고 새로 로그인하면 서버에서 다시 재발급해서 DB에 저장한다.

Access / Refresh Token 재발급 원리

기본적으로 로그인 같은 과정을 하면 Access Token과 Refresh Token을 모두 발급한다. 이때, Refresh Token만 서버측의 DB에 저장하며, Refresh Token과 Access Token을 쿠키 혹은 웹스토리지에 저장한다.
사용자가 인증이 필요한 API에 접근하고자 하면, 가장 먼저 토큰을 검사한다. 이때, 토큰을 검사함과 동시에 각 경우에 대해서 토큰의 유효기간을 확인하여 재발급 여부를 결정한다.

case1 : access token과 refresh token 모두가 만료된 경우 → 에러 발생 (재 로그인하여 둘다 새로 발급) case2 : access token은 만료됐지만, refresh token은 유효한 경우 → refresh token을 검증하여 access token 재발급 case3 : access token은 유효하지만, refresh token은 만료된 경우 → access token을 검증하여 refresh token 재발급 case4 : access token과 refresh token 모두가 유효한 경우 → 정상 처리
로그아웃을 하면 Access Token과 Refresh Token을 모두 만료시킨다.

Refresh Token 인증 과정

1. 사용자가 ID , PW를 통해 로그인.

2. 서버에서는 회원 DB에서 값을 비교

3~4. 로그인이 완료되면 Access Token, Refresh Token을 발급한다. 이때 회원DB에도 Refresh Token을 저장해둔다.

5. 사용자는 Refresh Token은 안전한 저장소에 저장 후, Access Token을 헤더에 실어 요청을 보낸다.

6~7. Access Token을 검증하여 이에 맞는 데이터를 보낸다.

8. 시간이 지나 Access Token이 만료됐다.

9. 사용자는 이전과 동일하게 Access Token을 헤더에 실어 요청을 보낸다.

10~11. 서버는 Access Token이 만료됨을 확인하고 권한없음을 신호로 보낸다.

12. 사용자는 Refresh Token과 Access Token을 함께 서버로 보낸다.

13. 서버는 받은 Access Token이 조작되지 않았는지 확인한후, Refresh Token과 사용자의 DB에 저장되어 있던 Refresh Token을 비교한다. Token이 동일하고 유효기간도 지나지 않았다면 새로운 Access Token을 발급해준다.

14. 서버는 새로운 Access Token을 헤더에 실어 다시 API 요청 응답을 진행한다.

출처: https://inpa.tistory.com/entry/WEB-📚-Access-Token-Refresh-Token-원리-feat-JWT [Inpa Dev 👨‍💻:티스토리]

일정 관리 앱 서버 기능 추가하기 : 댓글 기능 구현

Tue, 04 Jun 2024 01:38:54 GMT

1단계 : 일정과 댓글의 연관관계

설명

지난 과제에서 만든 일정에 댓글을 추가할 수 있습니다.
ERD에도 댓글 모델을 추가합니다.
각 일정에 댓글을 작성할 수 있도록 관련 클래스를 추가하고 연관 관계를 설정합니다.
매핑 관계를 설정합니다. (1:1 or N:1 or N:M)

추가되는 entity : Comment

댓글필드	데이터 유형
아이디(고유번호)	bigint
댓글내용	varchar
사용자 아이디	varchar
일정 아이디	bigint
작성일자	timestamp

User
- 하나의 user는 todo를 여러개 작성할 수 있으므로 OneToMany
- 하나의 user는 comment를 여러개 작성 할 수 있으므로 OneToMany
todo
- 여러개의 todo가 하나의 user에 의해 작성되므로 ManyToOne
- 하나의 todo는 여러개의 comment를 가질 수 있으므로 OneToMany
comment
- 여러개의 comment가 하나의 user에 의해 작성되므로 ManyToOne
- 여러개의 comment가 하나의 todo에 의해 작성되므로 ManyToOne

수정되는 entity : User

사용자 필드	데이터 유형
아이디(고유번호)	bigint
별명	varchar
사용자 이름	varchar
비밀번호	varchar
권한	varchar
생성일	timestamp

수정되는 entity : Todo

User 테이블이 생기면서 기존 Todo에 존재하는 password field가 중복된다고 판단.

일정 필드	데이터 유형
아이디(고유번호)	bigint
사용자 이름	varchar
제목	varchar
내용	varchar
비밀번호	varchar
생성일	timestamp

Entity 구현 및 수정

구현 : entity.Comment

일정 관리 앱 서버 기능 추가하기 : 구현 전 이것 저것

Mon, 03 Jun 2024 00:15:35 GMT

Goal

회원가입, 로그인 기능이 있는 투두앱 백엔드 서버 만들기

ERD

수정된 ERD

API 명세서

1단계 : 일정과 댓글의 연관관계

설명

지난 과제에서 만든 일정에 댓글을 추가할 수 있습니다.
ERD에도 댓글 모델을 추가합니다.
각 일정에 댓글을 작성할 수 있도록 관련 클래스를 추가하고 연관 관계를 설정합니다.
매핑 관계를 설정합니다. (1:1 or N:1 or N:M)

추가되는 entity : Comment

댓글필드	데이터 유형
아이디(고유번호)	bigint
댓글내용	varchar
사용자 아이디	varchar
일정 아이디	bigint
작성일자	timestamp

User
- 하나의 user는 todo를 여러개 작성할 수 있으므로 OneToMany
- 하나의 user는 comment를 여러개 작성 할 수 있으므로 OneToMany
todo
- 여러개의 todo가 하나의 user에 의해 작성되므로 ManyToOne
- 하나의 todo는 여러개의 comment를 가질 수 있으므로 OneToMany
comment
- 여러개의 comment가 하나의 user에 의해 작성되므로 ManyToOne
- 여러개의 comment가 하나의 todo에 의해 작성되므로 ManyToOne

수정되는 entity : User

사용자 필드	데이터 유형
아이디(고유번호)	bigint
별명	varchar
사용자 이름	varchar
비밀번호	varchar
권한	varchar
생성일	timestamp

수정되는 entity : Todo

User 테이블이 생기면서 기존 Todo에 존재하는 password field가 중복된다고 판단.

일정 필드	데이터 유형
아이디(고유번호)	bigint
사용자 이름	varchar
제목	varchar
내용	varchar
비밀번호	varchar
생성일	timestamp

2단계 : 댓글 등록

기능

선택한 일정이 있다면 댓글을 등록합니다.

조건

댓글이 등록되었다면 client에게 반환합니다.
선택한 일정이 DB에 저장되어 있어야 합니다.
댓글을 식별하는 고유번호, 댓글 내용, 댓글을 작성한 사용자 아이디, 댓글이 작성된 일정 아이디, 작성일자를 저장할 수 있습니다.

⚠️ 예외 처리

선택한 일정의 ID를 입력 받지 않은 경우

CommentService.createComment
// todoRepository에서 id로 조회 및 예외처리
Todo todo = todoRepository.findById(dto.getTodo().getTodoId()).orElseThrow(()->
               new NullPointerException("잘못된 접근입니다."));

댓글 내용이 비어 있는 경우
```
CommentRequestDTO
```

// validation으로 예외처리 @NotBlank private String content;

- 일정이 DB에 저장되지 않은 경우
```java
CommentService.createComment

// save 후 commentRepository에서 조회 및 예외처리
commentRepository.save(comment);
        return commentRepository.findById(comment.getCommentId()).orElseThrow(()
        -> new IllegalArgumentException("저장에 오류가 발생했습니다."));

3단계 : 댓글 수정

기능

선택한 일정의 댓글을 수정합니다.

조건

댓글이 수정되었다면 수정된 댓글을 반환합니다.
댓글 내용만 수정 가능합니다.
선택한 일정과 댓글이 DB에 저장되어 있어야 합니다.

⚠️ 예외 처리

선택한 일정이나 댓글의 ID를 입력 받지 않은 경우
일정이나 댓글이 DB에 저장되지 않은 경우
선택한 댓글의 사용자가 현재 사용자와 일치하지 않은 경우

위와 다르지 않음.

4단계 : 댓글 삭제

기능

선택한 일정의 댓글을 삭제합니다.

조건

성공했다는 메시지와 상태 코드 반환하기
선택한 일정과 댓글이 DB에 저장되어 있어야 합니다.

⚠️ 예외 처리

선택한 일정이나 댓글의 ID를 입력받지 않은 경우
일정이나 댓글이 DB에 저장되지 않은 경우
선택한 댓글의 사용자가 현재 사용자와 일치하지 않은 경우

5단계 : JWT

기능

JWT를 이용한 인증/인가를 구현한다.
위 1~4 단계에서 인증/인가가 완료된 후에만 기능이 동작하도록 수정한다.

조건

Access Token 만료시간 60분
Refresh Token 구현은 8단계이므로 이번에는 하지 않습니다.

⚠️ 예외 처리

공통조건
- StatusCode : 400
- client에 반환
토큰이 필요한 API 요청에서 토큰을 전달하지 않았거나 정상 토큰이 아닐 때
- 에러 메세지 : 토큰이 유효하지 않습니다.
토큰이 있고, 유효한 토큰이지만 해당 사용자가 작성한 게시글/댓글이 아닐 때
- 에러 메세지 : 작성자만 삭제/수정할 수 있습니다.
DB에 이미 존재하는 username으로 회원가입을 요청할 때
- 에러 메세지 : 중복된 username 입니다.
로그인 시, 전달된 username과 password 중 맞지 않는 정보가 있을 때
- 에러 메시지 : 회원을 찾을 수 없습니다.

6단계 : 회원가입

기능

사용자의 정보를 전달 받아 유저 정보를 저장한다.

조건

패스워드 암호화는 하지 않습니다.
- PasswordEncoder() 사용할 필요없음
username은 최소 4자 이상, 10자 이하이며 알파벳 소문자(a~z), 숫자(0~9)로 구성되어야 한다.

password는 최소 8자 이상, 15자 이하이며 알파벳 대소문자(a~z, A~Z), 숫자(0~9)로 구성되어야 한다.

// 정규식을 이용한 제약조건
  @NotBlank
  @Pattern(regexp = "^[a-z0-9]{4,10}$")
  private String username;

  @NotBlank
  @Pattern(regexp = "^[A-Za-z0-9]{8,15}$")
  private String password;

DB에 중복된 username이 없다면 회원을 저장하고 Client 로 성공했다는 메시지, 상태코드 반환하기

7️⃣단계 - 로그인

기능

username, password 정보를 client로부터 전달받아 토큰을 반환한다.

설명

DB에서 username을 사용하여 저장된 회원의 유무를 확인한다.
- 저장된 회원이 있다면 password 를 비교하여 로그인 성공 유무를 체크한다.

조건

패스워드 복호화는 하지 않습니다.
로그인 성공 시 로그인에 성공한 유저의 정보와 JWT를 활용하여 토큰을 발급한다.
발급한 토큰을 Header에 추가하고 성공했다는 메시지 및 상태코드와 함께 client에 반환한다.

7단계 : 로그인

기능

username, password 정보를 client로부터 전달받아 토큰을 반환한다.

설명

DB에서 username을 사용하여 저장된 회원의 유무를 확인한다.
- 저장된 회원이 있다면 password 를 비교하여 로그인 성공 유무를 체크한다.

조건

패스워드 복호화는 하지 않습니다.
로그인 성공 시 로그인에 성공한 유저의 정보와 JWT를 활용하여 토큰을 발급한다.
발급한 토큰을 Header에 추가하고 성공했다는 메시지 및 상태코드와 함께 client에 반환한다.

8단계 : Refresh Token (미구현)

기능

5단계에서 구현한 JWT를 Refresh Token을 사용하도록 변경

설명

세션 관리
- 자주 로그인을 반복하지 않으면서 긴 유효 기간을 가진 Refresh Token을 통해 사용자가 시스템에 지속적으로 연결되어 있을 수 있습니다.
리소스 관리
- 서버가 세션 상태를 유지할 필요 없습니다. 클라이언트 측에서 JWT를 관리하기 때문에 서버는 세션을 위해 추가적인 자원을 사용하지 않아도 됩니다.
- 여기서 클라이언트 → Postman

조건

Access Token 유효기간이 지난 후 Refresh Token 갱신하지 않으면 접근 불가
Refresh Token 만료가 되면 인증 실패 처리 및 재로그인 유도
스프링 시큐리티 사용하지 않고 5단계에서 구현한 JWT 기능에 Refresh Token만 추가 구현

9단계 : 일정과 댓글 수정

기능

로그인 한 사용자에 한하여 일정과 댓글을 작성하고 수정할 수 있는 기능
‘만료되지 않은 유효 토큰’인 경우에만 일정과 댓글 ‘생성’이 가능하도록 변경
조회는 누구나 할 수 있습니다!

설명

보안
- 사용자 인증을 통해 접근을 제어하여 보안을 강화합니다. 또한 개인 로그를 적재하고 분석하면 모니터링도 가능합니다.
사용자 경험
- 로그인을 통해 개인을 식별하고 개인에 맞춘 서비스를 제공할 수 있습니다. 이를 통해 사용자 경험을 향상시킬 수 있습니다. 또한 사용자 추적을 통해 맞춤 서비스를 개발할 수 있습니다.

조건

로그인을 하지 않으면 기능을 사용할 수 없다.
유효한 토큰인 경우에만 일정과 댓글을 작성할 수 있다.
일정을 생성한 사용자와 동일한 username이면 수정할 수 있다.
댓글을 작성한 사용자와 동일한 username이면 수정할 수 있다.

10단계 : 파일 첨부

기능

각 일정에 파일 첨부 가능

설명

데이터 형식 이해
- 파일을 데이터베이스에 저장할 때 사용하는 데이터 형식인 이진 데이터 blob에 대해 이해할 수 있습니다.
텍스트 데이터 처리
- 이진 데이터를 처리하면서 파일 입출력과 데이터 스트림 처리 등 기술에 대해 이해할 수 있습니다.

조건

파일 테이블 생성
일정에 파일을 첨부할 수 있는 기능
일정과 파일 테이블 간 연간관계 형성
- 1:1 매핑
- ERD에도 파일 모델을 추가합니다.

Entity 추가 : File

파일 필드	데이터 유형
아이디	bigint
파일이름	varchar
파일 확장자	varchar
파일 크기	int
생성일자	timestamp
파일 콘텐츠	blob

일정을 생성할 때 파일을 첨부할 수 있다.
일정을 수정할 때 파일을 첨부된 파일을 수정할 수 있다.

⚠️ 예외 처리

일정을 삭제할 때 파일도 함께 삭제된다.
파일 형식은 png, jpg만 가능하다.
용량은 최대 5MB까지만 가능하다.

인증과 인가 (5) : JWT 다루기 (수정중)

Tue, 28 May 2024 00:22:58 GMT

직전 포스팅에 이어서 JWT를 활용하는 코드를 리뷰하는 포스팅

JWTutil

JWT를 다루기 위해 그와 관련된 기능-메서드들을 모아 정리하는 클래스

필요한 기능들

생성
쿠키에 저장
쿠키의 JWT를 Substring -> 검증을 위해서
검증

정보 추출

// Header KEY 값
public static final String AUTHORIZATION_HEADER = "Authorization";
// 사용자 권한 값의 KEY
public static final String AUTHORIZATION_KEY = "auth";
// Token 식별자
public static final String BEARER_PREFIX = "Bearer ";
// 토큰 만료시간
private final long TOKEN_TIME = 60 * 60 * 1000L; // 60분

@Value("${jwt.secret.key}") // Base64 Encode 한 SecretKey private String secretKey; private Key key; private final SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

// 로그 설정 public static final Logger logger = LoggerFactory.getLogger("JWT 관련 로그");

@PostConstruct public void init() { byte[] bytes = Base64.getDecoder().decode(secretKey); key = Keys.hmacShaKeyFor(bytes); }

- Base64로 Encode된 Secret Key를 properties에 작성해두고 @Value를 통해 가져옵니다.
- JWT를 생성할 때 가져온 Secret Key로 암호화합니다.
    - 이때 Encode된 Secret Key를 Decode 해서 사용합니다.
    - Key는 Decode된 Secret Key를 담는 객체입니다.
    - @PostConstruct는 딱 한 번만 받아오면 되는 값을 사용 할 때마다 요청을 새로 호출하는 실수를 방지하기 위해 사용됩니다.
        - JwtUtil 클래스의 생성자 호출 이후에 실행되어 Key 필드에 값을 주입 해줍니다.
- 암호화 알고리즘은 HS256 알고리즘을 사용합니다.
- Bearer 란 JWT 혹은 OAuth에 대한 토큰을 사용한다는 표시입니다.
- 로깅이란 애플리케이션이 동작하는 동안 프로젝트의 상태나 동작 정보를 시간순으로 기록하는 것을 의미합니다.

인증과 인가 (4) : JWT

Mon, 27 May 2024 01:03:05 GMT

지난 쿠키와 세션에 이어서 토큰 방식의 인증과 인가 구현 방법 중 JWT에 대해 공부하는 포스트

토큰이란?

사용자가 자신의 아이덴티티를 확인하고 고유한 액세스 토큰을 받을 수 있는 프로토콜. 사용자는 토큰 유효 기간 동안 동일한 웹페이지나 앱, 혹은 그 밖에 해당 토큰으로 보호를 받는 리소스로 돌아갈 때마다 자격 증명을 다시 입력할 필요 없이 토큰이 발급된 웹사이트나 앱에 액세스할 수 있다.

인증 토큰은 도장이 찍힌 티켓이라고 생각할 수 있다. 토큰이 유효하다면 사용자는 계속해서 액세스할 수 있다. 사용자가 로그아웃하거나 앱을 종료하면 토큰도 무효화된다.

토큰 기반 인증은 비밀번호 기반 또는 서버 기반 인증 기법과는 다르다. 토큰이 두 번째 보안 계층을 제공하여 관리자가 각 작업과 트랜잭션을 정밀하게 제어할 수 있다.

토큰 인증 방식에서는 보조 서비스를 통해 서버 요청을 확인해야한다. 확인이 완료되면 서버가 토큰을 발급하여 요청에 응답한다.

사용자는 여전히 적어도 한 개의 비밀번호 를 기억해야 하지만 토큰이 액세스 계층을 하나 더 제공하기 때문에 도용하거나 침투하기가 훨씬 더 어렵고 세션 레코드가 서버에서 공간을 전혀 차지하지 않는다.

토큰의 종류

모든 인증 토큰이 액세스를 허용하지만 각 유형마다 약간씩 차이가 있다.

일반적으로 다음과 같은 세 가지 유형의 인증 토큰이 있다.

연결형: 키, 디스크, 드라이브 및 기타 물리적 장치가 시스템에 연결되어 액세스를 허용. USB 디바이스나 스마트카드를 사용해 시스템에 로그인한 경험이 있다면 연결식 토큰을 사용해본 것이다.
비접촉형: 디바이스가 서버와 통신하려면 거리가 충분히 가까워야 하지만 연결할 필요는 없다. Microsoft의 "매직 링"이라고 하는 토큰이 여기에 해당.
분리형: 디바이스가 다른 디바이스와 접촉하지 않고도 먼 거리에서 서버와 통신할 수 있다. 예를 들어 이중 요소 인증 프로세스에 휴대전화를 사용한 경험이 있다면 이러한 유형의 토큰을 사용해본 것이다.

위의 세 가지 시나리오 모두 사용자가 무언가를 해야만 프로세스가 시작된다. 비밀번호를 입력해야 할 수도 있고, 혹은 질문에 답변해야 할 수도 있다. 하지만 예비 단계를 완벽하게 마쳤다고 해도 액세스 토큰이 없으면 액세스할 수 없다.

JWT (Json Web Token)

JWT는 Json Web Token의 약자로 일반적으로 클라이언트와 서버 사이에서 통신할 때 권한을 위해 사용하는 토큰이다. 웹 상에서 정보를 Json형태로 주고 받기 위해 표준규약에 따라 생성한 암호화된 토큰으로 복잡하고 읽을 수 없는 string 형태로 저장되어있다. 누구나 복호화를 할 수는 있지만 약속된 Secret Key가 없다면 수정이 불가능한 읽기 전용 데이터다.

헤더, 페이로드, 서명의 세가지 부분으로 나누어져 있다.

헤더 (Header)
```
{
"alg": "HS256",
"typ": "JWT"
}
```
어떠한 알고리즘으로 암호화 할 것인지, 어떠한 토큰을 사용할 것 인지에 대한 정보가 들어있다.
정보 (Payload)
```
{
"sub": "1234567890",
"username": "카즈하",
"admin": true
}
```
전달하려는 정보(사용자 id나 다른 데이터들, 이것들을 클레임이라고 부른다)가 들어있다. payload에 있는 내용은 수정이 가능하여 더 많은 정보를 추가할 수 있다. 그러나 노출과 수정이 가능한 지점이기 때문에 인증이 필요한 최소한의 정보(아이디, 비밀번호 등 개인정보가 아닌 이 토큰을 가졌을 때 권한의 범위나 토큰의 발급일과 만료일자 등)만을 담아야한다.
서명 (Signature)
```
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
```
가장 중요한 부분으로 헤더와 정보를 합친 후 발급해준 서버가 지정한 secret key로 암호화 시켜 토큰을 변조하기 어렵게 만들어준다. 한가지 예를 들어보자면 토큰이 발급된 후 누군가가 Payload의 정보를 수정하면 Payload에는 다른 누군가가 조작된 정보가 들어가 있지만 Signatute에는 수정되기 전의 Payload 내용을 기반으로 이미 암호화 되어있는 결과가 저장되어 있기 때문에 조작되어있는 Payload와는 다른 결과값이 나오게 된다. 이러한 방식으로 비교하면 서버는 토큰이 조작되었는지 아닌지를 쉽게 알 수 있고, 다른 누군가는 조작된 토큰을 악용하기가 어려워진다.

JWT 장, 단점

장점

동시 접속자가 많을 때 서버의 부하를 감소시킨다.
범용성이 높아 client, server 간 도메인이 달라도 사용가능.
- 예) 카카오 OAuth2 로그인 시 JWT Token 사용
  단점
구현의 복잡도 증가
JWT에 담는 내용이 커질수록 네트워크 비용 증가
생성 완료된 JWT를 일부만 만료시킬 방법이 없음
Secret key 하나로 보안이 취약해진다.

인증과 인가 (3) : 쿠키와 세션 다루기

Thu, 23 May 2024 20:40:14 GMT

지난 포스트에서 다뤘던 쿠키와 세션을 어떻게 코드로 구현하는 지 작성해볼 예정이다.

쿠키

쿠키 생성

public static void addCookie(String cookieValue, HttpServletResponse res) {
    try {
        cookieValue = URLEncoder.encode(cookieValue, "utf-8").replaceAll("\\+", "%20"); // Cookie Value 에는 공백이 불가능해서 encoding 진행

        Cookie cookie = new Cookie(AUTHORIZATION_HEADER, cookieValue); // Name-Value
        cookie.setPath("/");
        cookie.setMaxAge(30 * 60);

        // Response 객체에 Cookie 추가
        res.addCookie(cookie);
    } catch (UnsupportedEncodingException e) {
        throw new RuntimeException(e.getMessage());
    }
}

new Cookie(AUTHORIZATION_HEADER, cookieValue)
- AUTHORIZATION_HEADER : 쿠키의 이름
- cookieValue : 쿠키의 값
cookie.setPath("/") : 쿠키의 Path
cookie.setMaxAge(30 * 60) : 쿠키 만료시간 지정
res.addCookie(cookie) : res = HttpServletResponse 객체에 Cookie 객체를 추가

쿠키 읽기

@GetMapping("/get-cookie")
public String getCookie(@CookieValue(AUTHORIZATION_HEADER) String value) {
    System.out.println("value = " + value);

    return "getCookie : " + value;
}

@CookieValue(AUTHORIZATION_HEADER) String value
- AUTHORIZATION_HEADER 값에 해당하는 cookieValue를 반환한다.

세션

jakarta.Servlet에서 세션을 간편하게 다룰수 있는 HttpSession을 제공

세션 생성

@GetMapping("/create-session")
public String createSession(HttpServletRequest req) {
    // 세션이 존재할 경우 세션 반환, 없을 경우 새로운 세션을 생성한 후 반환
    HttpSession session = req.getSession(true);

    // 세션에 저장될 정보 Name - Value 를 추가합니다.
    session.setAttribute(AUTHORIZATION_HEADER, "Robbie Auth");

    return "createSession";
}

HttpServletRequest를 사용하여 세션을 생성 및 반환할 수 있다.
req=HttpServletRequest.getSession(true)
- 세션이 존재할 경우 세션을 반환하고 없을 경우 새로운 세션을 생성.
세션에 저장할 정보를 Name-Value 형식으로 추가.

세션 읽기

@GetMapping("/get-session")
public String getSession(HttpServletRequest req) {
    // 세션이 존재할 경우 세션 반환, 없을 경우 null 반환
    HttpSession session = req.getSession(false);

    String value = (String) session.getAttribute(AUTHORIZATION_HEADER); 
    // 가져온 세션에 저장된 Value 를 Name 을 사용하여 가져옵니다.
    System.out.println("value = " + value);

    return "getSession : " + value;
}

req=HttpServletRequest.getSession(false)
- 세션이 존재할 경우 세션을 반환하고 없을 경우 null을 반환.
session.getAttribute(”세션에 저장된 정보 Name”)
- Name을 사용하여 세션에 저장된 Value를 반환.

인증과 인가 (2) : 쿠키와 세션

Thu, 23 May 2024 01:07:12 GMT

쿠키

쿠키란?

쿠키는 웹 서버가 생성하여 웹 브라우저로 전송하는 작은 정보 파일입니다. 웹 브라우저는 수신한 쿠키를 미리 정해진 기간 동안 또는 웹 사이트에서의 사용자 세션 기간 동안 저장합니다. 웹 브라우저는 향후 사용자가 웹 서버에 요청할 때 관련 쿠키를 첨부합니다.

쿠키는 웹 사이트에 사용자에 대한 정보를 제공하여 웹 사이트에서 사용자 경험을 맞춤화하는 데 도움이 됩니다. 예를 들어, 전자 상거래 웹 사이트에서는 쿠키를 사용하여 사용자가 장바구니에 어떤 상품을 담았는지 파악합니다. 또한 인증 쿠키(아래 참조)와 같이 보안을 위해 필요한 쿠키도 있습니다.

인터넷에서 사용되는 쿠키를 "HTTP 쿠키"라고도 합니다.대부분의 웹과 마찬가지로 쿠키는 HTTP 프로토콜을 사용하여 전송됩니다.

쿠키는 어디?

크롬의 개발자도구 - F12 웹 브라우저는 사용자 기기의 지정된 파일에 쿠키를 저장합니다.예를 들어, Google Chrome 웹 브라우저는 모든 쿠키를 "Cookies"라는 파일에 저장합니다.Chrome 사용자는 개발자 도구를 열고 "애플리케이션" 탭을 클릭한 다음 왼쪽 메뉴에서 "쿠키"를 클릭하여 브라우저에 저장된 쿠키를 확인할 수 있습니다.
구성요소
- Name (이름): 쿠키를 구별하는 데 사용되는 키 (중복될 수 없음)
- Value (값): 쿠키의 값
- Domain (도메인): 쿠키가 저장된 도메인
- Path (경로): 쿠키가 사용되는 경로
- Expires (만료기한): 쿠키의 만료기한 (만료기한 지나면 삭제됩니다.)

왜 쿠키?

사용자 세션

쿠키는 웹 사이트 활동을 특정 사용자와 연결하는 데 도움이 됩니다.세션 쿠키에는 사용자 세션과 해당 사용자의 관련 데이터 및 콘텐츠를 일치시키는 고유 문자열(문자와 숫자의 조합)이 포함되어 있습니다.

Alice가 쇼핑 웹 사이트에 계정이 있다고 가정해 보겠습니다. Alice가 웹 사이트 홈페이지에서 자신의 계정에 로그인합니다. Alice가 로그인하면 웹 사이트 서버에서 세션 쿠키가 생성되고 이 쿠키가 Alice의 브라우저로 전송됩니다. 이 쿠키에서 웹 사이트에 Alice의 계정 콘텐츠를 로드하도록 지시되므로 이제 홈페이지에 "환영합니다, Alice"라는 메시지가 표시됩니다.

그런 다음 Alice는 청바지 한 켤레가 표시된 제품 페이지를 클릭합니다. Alice의 웹 브라우저에서 청바지 제품 페이지에 대한 HTTP 요청이 웹 사이트로 전송되면 요청에 Alice의 세션 쿠키가 포함됩니다. 웹 사이트에 이 쿠키가 있으므로 사용자가 Alice로 인식되고 새 페이지가 로드될 때 다시 로그인할 필요가 없습니다.

개인화

쿠키가 웹 사이트에서 사용자 행동 또는 사용자 기본 설정이 "기억"되는 데 도움이 되므로 웹 사이트에서 사용자 경험이 맞춤화될 수 있습니다.

Alice가 쇼핑 웹 사이트에서 로그아웃하면 사용자 이름이 쿠키에 저장되어 웹 브라우저로 전송될 수 있습니다. 다음에 해당 웹 사이트를 로드할 때 웹 브라우저에서는 이 쿠키가 웹 서버로 전송되고, 웹 서버에는 Alice에게 지난번에 사용한 사용자 이름으로 로그인하라는 메시지가 표시됩니다.

추적

일부 쿠키에는 사용자가 방문한 웹 사이트가 기록됩니다.이 정보는 다음에 브라우저가 해당 서버에서 콘텐츠를 로드할 때 쿠키를 생성한 서버로 전송됩니다.타사 추적 쿠키를 사용하면 브라우저가 해당 추적 서비스를 사용하는 웹 사이트를 로드할 때마다 이 프로세스가 수행됩니다.

Alice가 이전에 브라우저에 추적 쿠키를 전송한 웹 사이트를 방문한 적이 있는 경우, 이 쿠키에는 Alice가 현재 청바지 제품 페이지를 보고 있다는 사실이 기록될 수 있습니다. 다음에 Alice가 이 추적 서비스를 사용하는 웹 사이트를 로드할 때 청바지 광고가 표시될 수 있습니다.

세션

세션이란?

클라이언트로부터 오는 일련의 요청을 하나의 상태로 보고 그 상태를 일정하게 유지하는 기술
클라이언트가 웹 서버에 접속해있는 상태가 하나의 단위

세션은 웹서버에 웹 컨테이너의 상태를 유지하기 위한 정보를 저장합니다. 브라우저를 닫거나 서버에서 세션을 삭제하면 세션이 삭제됩니다. 세션은 각 클라이언트의 고유세션 ID를 부여하는데, 이것으로 클라이언트를 구분하여 각 클라이언트의 요구에 맞는 응답을 반환합니다.

세션은 어떻게?

클라이언트 요청
Request-Header 필드의 Cookie 에서 세션ID를 보냈는지 확인
세션ID가 없을 경우, 서버에서 생성하여 클라이언트에게 전송
쿠키를 사용해 세션ID를 서버에 저장
클라이언트 재접속 시, 쿠키를 이용하여 세션ID 값을 서버에 전달

쿠키 vs 세션

인증과 인가 (1) : web에서의 인증과 인가

Tue, 21 May 2024 21:01:28 GMT

인증과 인가란?

인증 : Authentication

사용자의 신원을 검증하는 프로세스를 의미. ID와 PW로 로그인하는 행위 자체.

인가 : Authorization

사용자의 권한을 확인해 접근 가능 영역을 확인하는 절차. 로그인을 통해 자신의 정보 페이지에 접근하는 권한을 획득하는 것.

web에서의 인증과 인가

웹 사이트는 HTTP 통신 위에서 동작합니다. 때문에 웹 사이트 내의 모든 요청과 응답은 비연결성(Connectionless)과 무상태(stateless)한 특성을 가지죠. 즉, 서버에서 Client의 이전 상태를 기억하고 있지 않습니다.

비연결성(Connectionless)은 서버와 클라이언트가 연결되어 있지 않다는 것 입니다.
채팅이나 게임 같은 것들을 하지 않는 이상 서버와 클라이언트는 실제로 연결되어 있지 않습니다.
그 이유는 리소스를 절약하기 위해서 인데, 만약 서버와 클라이언트가 실제로 계속 연결되어있다면 
클라이언트는 그렇다고 쳐도, 서버의 비용이 기하급수적으로 늘어나기 때문입니다.
그래서 서버는 실제로 하나의 요청에 하나의 응답을 내버리고 연결을 끊어버리고있다 라고 생각하시면 좋습니다.

무상태(Stateless)는 서버가 클라이언트의 상태를 저장하지 않는다는 것입니다.
기존의 상태를 저장하는 것들도 마찬가지로 서버의 비용과 부담을 증가시키는 것 이기 때문에 
기존의 상태가 없다고 가정하는 프로토콜을 이용해 구현되어 있습니다.
실제로 서버는 클라이언트가 직전에, 혹은 그 전에 어떠한 요청을 보냈는지 관심도 없고 전혀 알지 못합니다.

HTTP의 무상태라는 특성을 인증과 함께 생각해보면 로그인을 통해 인증을 거쳐도 이후 요청에서는 이전의 인증된 상태를 유지하지 않게 됩니다. 이러한 상황에서 웹 사이트를 이용하려면 인증/인가가 필요한 모든 상황에서 사용자는 반복적으로 ID/PW를 입력해야 하는 불상사가 생기게 되겠죠.

web에서의 구현

쿠키-세션 방식의 인증

쿠키-세션 방식은 서버가 ‘특정 유저가 로그인 되었다’는 상태를 저장하는 방식입니다. 인증과 관련된 아주 약간의 정보만 서버가 가지고 있게 되고 유저의 이전 상태의 전부는 아니더라도 인증과 관련된 최소한의 정보는 저장해서 로그인을 유지시킨다는 개념입니다.

JWT 기반 인증

JWT(JSON Web Token)란 인증에 필요한 정보들을 암호화시킨 토큰을 의미합니다. JWT 기반 인증은 쿠키/세션 방식과 유사하게 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별합니다.

DTO : Data Transfer Object

Mon, 20 May 2024 22:59:42 GMT

📢 DTO 란

DTO(Data Transfer Object, 데이터 전송 객체)란 프로세스 간에 데이터를 전달하는 객체를 의미한다. 말 그대로 데이터를 전송하기 위해 사용하는 객체라서 그 안에 비즈니스 로직 같은 복잡한 코드는 없고 순수하게 전달하고 싶은 데이터만 담겨있다. 아래의 그림을 통해 DTO는 주로 클라이언트와 서버가 데이터를 주고받을 때 사용하는 객체임이 보여진다.

📢 DTO와 Entity의 분리

DTO가 왜 필요할까?

그냥 서버 안에서 대상이 되는 Entity 객체를 직접 Get, Set 해도 되는거 아닐까?

그래도 된다. 하지만 그에 따라 Entity 객체가 가지는 책임이 커지게 되고, 코드의 규모가 커지면 커질수록 Entity의 수정이나 변경은 아예 불가능하게 되어 버린다. 그리고 Entity 자체를 다루다 보니 만약 Entity에 비밀번호와 같은 민감한 정보가 쉽게 노출되는 경우가 발생해 버린다.

DTO대신 엔티티를 사용하면 엔티티 구조가 모두 노출될 수 있다. DTO를 사용함으로서 엔티티 내부 구현을 캡슐화할 수 있습니다.
클라이언트로 넘겨줘야 할 데이터는 API마다 다를 수 있습니다. 때문에 엔티티를 반환값으로 사용하면 유지보수가 힘들어집니다.
엔티티와 DTO가 항상 동일한 상황이라면 DTO대신 엔티티를 사용해도 됩니다. 하지만 그런 일은 거의 없습니다.
요청 & 응답시마다 DTO를 생성하는 것은 엔티티만 사용했을 경우보다 더 많은 코드를 관리해야 합니다. 하지만 엔티티만 썼을 때 발생하는 코드 버그들과 유지보수의 난이도를 생각하면 훨씬 값싼 노동입니다.
DTO를 사용하면 클라이언트에 전달해야 할 데이터의 크기를 조절할 수 있습니다. 엔티티를 반환하면 불필요한 데이터가 클라이언트에 전송될 수 있습니다.
validation, swagger 등의 코드들과 엔티티 코드를 분리할 수 있습니다. 더 깔끔한 코드가 돼서 읽고 관리하기 용이해집니다.

일정 관리 앱 서버 만들기 : 구현 전 이것저것

Mon, 20 May 2024 02:07:51 GMT

본격적인 구현 전, 원활한 개발을 위해 했던 이것저것을 올리는 포스팅

User Case Diagram

요구사항에 맞춰 시스템이 어떤 흐름으로 진행되는지에 대한 간단한 스케치. 어떻게 하는지 정확히 알고 있지 않아서 의식의 흐름대로 작성해봤다.

사용할 유저와 유저가 이용할 기능
조회(View)시 비밀번호를 제외해서 응답
수정(Update), 삭제(Delete)시 비밀번호가 필요

API 명세서

남들것을 보고 만든 API 명세서 id가 필요한 부분은 RequestParam의 형태로 URL에 받는 것으로 구현할 예정이다.

ERD

유저 테이블을 구현할 것 같진 않지만, Schedule 테이블 하나로는 너무 조촐해서 추가했다.

일정 관리 앱 서버 만들기 : 요구사항 분석

Thu, 16 May 2024 23:33:54 GMT

Spring에 입문하면서 학습에 시간을 많이 쓰게 되어서 급하게 시작한 개인과제. 시작은 먼저 요구사항에 대해 알아보면서 흐린 그림을 그려보자.

요구사항 확인 : 필수 구현 기능

공통 조건

일정 작성, 수정, 조회 시 반환 받은 일정 정보에 비밀번호는 제외 되어있습니다.

POST, PUT, GET : password를 반환하지 않음 -> responseDto에서 제외

일정 수정, 삭제 시 선택한 일정의 비밀번호와 요청할 때 함께 보낸 비밀번호가 일치할 경우에만 가능합니다.

PUT, DELETE : password를 검증해야하는 과정 추가 필요

1단계

기능: 일정 작성 -> CRUD 중 Create-POST 기능 구현

조건

할일 제목, 할일 내용, 담당자, 비밀번호, 작성일을 저장할 수 있습니다.
1. 저장된 일정 정보를 반환 받아 확인할 수 있습니다.

CREATE TABLE & Entity 생성 : | 식별자 | 할일 제목 | 할일 내용 | 담당자 | 비밀번호 | 작성일 |

2단계

기능 : 선택한 일정 조회 -> CRUD 중 Read-Get 기능 구현

조건

선택한 일정의 정보를 조회할 수 있습니다.

식별자로 일정 객체 선택 후 읽어오기. (단, 공통 조건에 따라 비밀번호는 안됨)

3단계

기능: 일정 목록 조회 -> CRUD 중 Read-Get 기능의 변형

조건

등록된 일정 전체를 조회할 수 있습니다.

findAll 이용

조회된 일정 목록은 작성일 기준 내림차순으로 정렬 되어있습니다.

repository-interface 에서 Query Methods 활용

4단계

기능: 선택한 일정 수정 -> CRUD 중 Update-Put 기능 구현

조건

선택한 일정의 할일 제목, 할일 내용, 담당자을 수정할 수 있습니다.
1. 서버에 일정 수정을 요청할 때 비밀번호를 함께 전달합니다.

수정가능 한것은 3가지 필드만, request에 비밀번호까지 비밀번호가 일치하는지에 대한 메서드 필요

수정된 일정의 정보를 반환 받아 확인할 수 있습니다.

반환 값은 일정정보 response로 반환

5단계

기능: 선택한 일정 삭제 -> CRUD 중 Delete-Delete 기능 구현

조건

선택한 일정을 삭제할 수 있습니다.
1. 서버에 일정 삭제를 요청할 때 비밀번호를 함께 전달합니다.

4단계와 마찬가지로 비밀번호 요청과 검증이 필요

지금 포스트를 작성하면서는 5단계까지는 구현이 완료, 다만 html 페이지가 없기 때문에 정확히 실행이 되는지는 알아봐야한다. 이틀밤을 새면서 학습 및 과제를 하다보니 정신이 없기 때문에 과제 중간중간 작성한 마크다운을 포스팅했다. 이거라도 있어서 너무나 다행이다.

Java Stream (2) : 가공하기

Thu, 16 May 2024 01:27:08 GMT

Java Stream (1)에서 stream 생성하기를 이어서 생성한 스트림을 가공하는 간단한 메서드들을 정리하는 두번째 포스트.

가공하기

전체 요소 중에서 다음과 같은 API 를 이용해서 내가 원하는 것만 뽑아낼 수 있습니다. 이러한 가공 단계를 중간 작업(intermediate operations)이라고 하는데, 이러한 작업은 스트림을 리턴하기 때문에 여러 작업을 이어 붙여서(chaining) 작성할 수 있습니다.

List names = Arrays.asList("Eric", "Elena", "Java");

아래 나오는 예제 코드는 위와 같은 리스트를 대상으로 합니다.

Filtering

필터(filter)은 스트림 내 요소들을 하나씩 평가해서 걸러내는 작업입니다. 인자로 받는 Predicate 는 boolean 을 리턴하는 함수형 인터페이스로 평가식이 들어가게 됩니다.

Stream filter(Predicate predicate);

간단한 예제입니다.

Stream stream = 
  names.stream()
  .filter(name -> name.contains("a"));
// [Elena, Java]

스트림의 각 요소에 대해서 평가식을 실행하게 되고 ‘a’ 가 들어간 이름만 들어간 스트림이 리턴됩니다.

Mapping

맵(map)은 스트림 내 요소들을 하나씩 특정 값으로 변환해줍니다. 이 때 값을 변환하기 위한 람다를 인자로 받습니다.

 Stream map(Function mapper);

스트림에 들어가 있는 값이 input 이 되어서 특정 로직을 거친 후 output 이 되어 (리턴되는) 새로운 스트림에 담기게 됩니다. 이러한 작업을 맵핑(mapping)이라고 합니다.

간단한 예제입니다. 스트림 내 String 의 toUpperCase 메소드를 실행해서 대문자로 변환한 값들이 담긴 스트림을 리턴합니다.

Stream stream = 
  names.stream()
  .map(String::toUpperCase);
// [ERIC, ELENA, JAVA]

다음처럼 요소 내 들어있는 Product 개체의 수량을 꺼내올 수도 있습니다. 각 ‘상품’을 ‘상품의 수량’으로 맵핑하는거죠.

Stream stream = 
  productList.stream()
  .map(Product::getAmount);
// [23, 14, 13, 23, 13]

map 이외에도 조금 더 복잡한 flatMap 메소드도 있습니다.

 Stream flatMap(Function> mapper);

인자로 mapper를 받고 있는데, 리턴 타입이 Stream 입니다. 즉, 새로운 스트림을 생성해서 리턴하는 람다를 넘겨야합니다. flatMap 은 중첩 구조를 한 단계 제거하고 단일 컬렉션으로 만들어주는 역할을 합니다. 이러한 작업을 플래트닝(flattening)이라고 합니다.

다음과 같은 중첩된 리스트가 있습니다.

List> list = 
  Arrays.asList(Arrays.asList("a"), 
                Arrays.asList("b"));
// [[a], [b]]

이를 flatMap을 사용해서 중첩 구조를 제거한 후 작업할 수 있습니다.

List flatList = 
  list.stream()
  .flatMap(Collection::stream)
  .collect(Collectors.toList());
// [a, b]

이번엔 객체에 적용해보겠습니다.

students.stream()
  .flatMapToInt(student -> 
                IntStream.of(student.getKor(), 
                             student.getEng(), 
                             student.getMath()))
  .average().ifPresent(avg -> 
                       System.out.println(Math.round(avg * 10)/10.0));

위 예제에서는 학생 객체를 가진 스트림에서 학생의 국영수 점수를 뽑아 새로운 스트림을 만들어 평균을 구하는 코드입니다. 이는 map 메소드 자체만으로는 한번에 할 수 없는 기능입니다.

Sorting

정렬의 방법은 다른 정렬과 마찬가지로 Comparator 를 이용합니다.

Stream sorted();
Stream sorted(Comparator comparator);

인자 없이 그냥 호출할 경우 오름차순으로 정렬합니다.

IntStream.of(14, 11, 20, 39, 23)
  .sorted()
  .boxed()
  .collect(Collectors.toList());
// [11, 14, 20, 23, 39]

인자를 넘기는 경우와 비교해보겠습니다. 스트링 리스트에서 알파벳 순으로 정렬한 코드와 Comparator 를 넘겨서 역순으로 정렬한 코드입니다.

List lang = 
  Arrays.asList("Java", "Scala", "Groovy", "Python", "Go", "Swift");

lang.stream()
  .sorted()
  .collect(Collectors.toList());
// [Go, Groovy, Java, Python, Scala, Swift]

lang.stream()
  .sorted(Comparator.reverseOrder())
  .collect(Collectors.toList());
// [Swift, Scala, Python, Java, Groovy, Go]

Comparator 의 compare 메소드는 두 인자를 비교해서 값을 리턴합니다.

int compare(T o1, T o2)

기본적으로 Comparator 사용법과 동일합니다. 이를 이용해서 문자열 길이를 기준으로 정렬해보겠습니다.

lang.stream()
  .sorted(Comparator.comparingInt(String::length))
  .collect(Collectors.toList());
// [Go, Java, Scala, Swift, Groovy, Python]

lang.stream()
  .sorted((s1, s2) -> s2.length() - s1.length())
  .collect(Collectors.toList());
// [Groovy, Python, Scala, Swift, Java, Go]

Iterating

스트림 내 요소들 각각을 대상으로 특정 연산을 수행하는 메소드로는 peek 이 있습니다. ‘peek’ 은 그냥 확인해본다는 단어 뜻처럼 특정 결과를 반환하지 않는 함수형 인터페이스 Consumer 를 인자로 받습니다.

Stream peek(Consumer action);

따라서 스트림 내 요소들 각각에 특정 작업을 수행할 뿐 결과에 영향을 미치지 않습니다. 다음처럼 작업을 처리하는 중간에 결과를 확인해볼 때 사용할 수 있습니다.

int sum = IntStream.of(1, 3, 5, 7, 9)
  .peek(System.out::println)
  .sum();

참고 포스트

2_minus.log

[혼공학습단] 1주차

❗기본숙제

✨ 추가숙제

스택(Stack)

큐(Queue)

github 연동 오류 : github 계정의 연결 불안정, 계정 접근 제한

Docker Container 무한 재시작 현상

오늘의 학습 🌠

docker 실행시 cmd에 mysql 생성 안 되는 에러 해결

application.yml OAuth 오류 해결 과정

테스트 코드 작성하기

❗필수 구현 기능

Spring Boot : 메일 인증 기능 구현하기 (2)

메일 인증 기능 흐름

메일 전송

메일 검증

고려사항

기능 구현

Mail Entity

MailController

MailService

sendMail

팀프로젝트 KPT 회고

Keep

Problem

Try

Spring boot : 메일 인증 기능 구현하기 (1)

Gmail SMTP 설정

Refresh Token(with mySQL)

Refresh Token

Refresh token이 왜 필요한가

Access / Refresh Token 재발급 원리

Refresh Token 인증 과정

일정 관리 앱 서버 기능 추가하기 : 댓글 기능 구현

설명

추가되는 entity : Comment

수정되는 entity : User

수정되는 entity : Todo

Entity 구현 및 수정

일정 관리 앱 서버 기능 추가하기 : 구현 전 이것 저것

Goal

ERD

수정된 ERD

API 명세서

1단계 : 일정과 댓글의 연관관계

설명

추가되는 entity : Comment

수정되는 entity : User

수정되는 entity : Todo

2단계 : 댓글 등록

기능

조건

⚠️ 예외 처리

3단계 : 댓글 수정

기능

조건

⚠️ 예외 처리

4단계 : 댓글 삭제

기능

조건

⚠️ 예외 처리

5단계 : JWT

기능

조건

⚠️ 예외 처리

6단계 : 회원가입

기능

조건

7️⃣단계 - 로그인

기능

설명

조건

7단계 : 로그인

기능

설명

조건

8단계 : Refresh Token (미구현)

기능

설명