인프런 커뮤니티 질문&답변
작성한 질문수
안녕하세요 jwt 토큰 인증 관련 질문드립니다.
21.05.17 17:06 작성
·
797
0
안녕하세요 강의 잘 듣고 있습니다.
다름이 아니라 궁금한 것이 있습니다.
Spring Security 를 이용해
로그인을 성공하면 JWT 토큰까지 반환 됩니다.
그 이후부터는 이제 서비스를 이용하기 위해 인증을 받기
위해 JWT토큰을 요청시마다 header에 넣어 서비스를 요청하는데
그 api gateway에서는 jwt 토큰을 확인하긴 하는데
api gateway를 거쳐 직접 호출 되는 유저 서비스에서는
인증이 된 것인지 확인하는 필터(로직)가 없는 것 같은데
어떻게 서비스가 이뤄지는 것 인가요??
api gateway에서 AuthrizationHeaderFilter를 통해 이미
인증을 확인 한 후 여서
실제 연결되는 유저 서비스에서는 확인 필요없이 서비스가 이뤄지는 것 인가요??
답변 2
0
2022. 04. 02. 17:06
1. 강사분이 대답해주신 내용이고
2. 현재 상황은 토큰 검증에 대한 책임을 api gateway가 하고 있으므로 user service에서는 토큰 검증을 하지 않는데요. 만약 필요하다면 api gateway 에서 한 것 처럼 해야겠죠.
3. 토큰 방식을 사용하는 목적이 클라이언트에서 로그인을 관리하는 거니까 클라이언트에서 처리해야 돼요. 클라이언트단에서 로그인 시 어딘가에 토큰을 저장하고 권한이 필요한 요청에는 Authorization 헤더에 해당 토큰을 포함시키는 흐름이죠. 따라서 유저가 로그아웃을 했다면 클라이언트단에서 관리한는 토큰을 지워버리면 로그아웃된다고 생각해요.
0
2021. 05. 18. 07:24
안녕하세요, 이도원입니다.
말씀하신 것 처럼 user service에서는 JWT에 대한 검증을 추가로 하지 않습니다. 클라이언트로 부터의 모든 요청은 api-gateway 통해서만 받고 있다고 가정하였기 때문에, api-gateway로부터 전달된 정보가 맞는지를 추가하셔도 좋을 것 같습니다. user service와 같은 마이크로서비스는 random port로 기동하였다고 가정하고, 외부에서 직접 요청 받을 수 없도록 차단하면, 굳이 user service에서 JWT를 확인할 필요는 없습니다. api-gateway에서 사용하고 있는 JWT이 user service에서 발급되었고, 같은 secret key를 사용하였다면, 인증이 된 것으로 간주하였습니다.
감사합니다.
2021. 05. 18. 09:39
JWT 검증을 추가로 하지 않은게 맞군요 감사합니다!
추가로 그럼 궁금해지는 것이
1. api-gateway로 부터 전달 될 때는 이미 인증이 되어있는 상태로 간주되어
user service에서 따로 인증이 필요없이 사용이 가능해지는 것 인건가요??
2. user service에서 jwt 토큰을 검증할 수 있는 방법이 무엇이 있을까요??
3. jwt 토큰 방식에서 로그아웃을 할 경우에는 어떻게 토큰을 만료시키나요??