Spring Boot로 MSA 환경에서 OAuth 2.0 기반 소셜 로그인 구현하기

1. 요약

• Spring Boot와 마이크로서비스 아키텍처(MSA)를 활용한 OAuth 2.0 기반 소셜 로그인 구현 방법에 대해 심층적으로 다루었습니다. 이 글에서는 우선 Spring Web MVC와 OAuth 2.0의 주요 기능에 대한 기본적인 이해를 도모하고, 이를 바탕으로 소셜 로그인 과정에서 자주 발생하는 보안 이슈와 문제를 제기합니다. 이러한 배경을 가지고, 실제 코드 예시와 함께 구체적인 구성 방법에 대해 심도 있는 설명을 제공하여 독자들이 이를 쉽게 실현할 수 있도록 돕습니다.

• 특히, Spring Security의 특징과 기능을 활용하여 OAuth 2.0 설정 과정을 상세히 설명하며, 소셜 로그인 처리 과정에서의 사용자 인증 흐름을 명확하게 이해할 수 있도록 안내합니다. 실제 Google API를 통합하는 단계별 진행 방식은 독자들이 이 과정을 실제 프로젝트에 적용하는 데 강력한 도움이 될 것입니다. 이 외에도 JWT(JSON Web Token) 발급 방식에 대한 설명을 통해, 소셜 로그인 후 사용자 인증 정보의 안전한 전달 방법과 관련된 기술적 방안을 제시하고 있습니다.

• 결과적으로, 이 글은 OAuth 2.0을 활용한 소셜 로그인 구현의 필수 요소들을 가시적으로 제시하며, 마이크로서비스 환경에서 빠르고 효율적으로 소셜 로그인 시스템을 구축할 수 있는 지침을 제공합니다. 이러한 통합된 이해는 개발자들이 보다 복잡한 인증 과제를 처리하는 데 필요한 신뢰성을 높여 줄 것입니다.

2. Spring Boot와 MSA: 시작하기

• 2-1. Spring Boot 개요

• Spring Boot는 스프링 프레임워크를 기반으로 한 경량화된 애플리케이션 프레임워크로, 복잡한 설정 없이도 빠르게 스프링 기반의 어플리케이션을 개발할 수 있도록 돕습니다. Spring Boot는 ‘Convention over Configuration’의 원칙을 따르며, 기본 설정을 제공하여 개발자가 설정에 소모하는 시간을 줄이는 데 중점을 두고 있습니다. 즉, 많은 경우 불필요한 XML 설정을 배제하고, 어노테이션을 통한 간단한 설정으로 충분합니다. 이러한 특징은 개발자의 생산성을 높이고, 빠른 프로토타입 작성 및 배포를 가능하게 합니다.

• 2-2. 마이크로서비스 아키텍처(MSA)의 정의

• 마이크로서비스 아키텍처(MSA)는 애플리케이션을 모듈화하여 각각의 모듈을 독립적인 서비스로 배포할 수 있도록 하는 접근 방식입니다. 각 서비스는 서로의 기능을 팀 단위로 개발 및 배포할 수 있으며, 자율성을 지닙니다. MSA는 단일 애플리케이션이 갖던 복잡성을 줄여주고 각 서비스를 독립적으로 확장하고 운영할 수 있게 해줍니다. 이 모델은 특히 클라우드 환경에서 효과적이며, 다양한 서비스 간의 상호 운용성을 극대화할 수 있습니다.

• 2-3. Spring Boot와 MSA의 장점

• Spring Boot와 MSA의 결합은 여러 가지 장점을 제공합니다. 첫째, Spring Boot의 간편한 설정과 운영이 MSA의 복잡한 아키텍처를 간단하게 관리할 수 있게 합니다. 둘째, 각 마이크로서비스는 독립적으로 배포되고 실시간으로 확장 가능하기 때문에, 시스템 전체의 가용성과 신뢰성을 높일 수 있습니다. 셋째, MSA는 팀 단위의 개발을 촉진하여 유연한 개발 프로세스를 가능하게 하고, 새로운 기능이 필요할 때 별도의 서비스에서 개발하고 배포할 수 있어 시간이 절약됩니다. 넷째, Spring Cloud와 같은 스프링 생태계의 다양한 도구를 통해 MSA의 운영과 모니터링을 더욱 수월하게 할 수 있습니다. 이 모든 요소가 합쳐져 더욱 신속하고 효과적인 개발 환경이 조성됩니다.

3. OAuth 2.0 이해하기

• 3-1. OAuth 2.0의 기본 개념

• OAuth 2.0은 사용자 인증 및 권한 부여를 위한 표준 프로토콜입니다. 이 프로토콜은 사용자가 비밀번호를 공유하지 않고도 애플리케이션에게 특정 데이터에 접근할 수 있는 권한을 부여할 수 있도록 설계되었습니다. 중심 개념은 '토큰'입니다. 사용자는 토큰을 통해 애플리케이션에 자신의 자원에 대한 접근을 허용하며, 이를 통해 더욱 안전하고 간편한 사용자 인증 및 데이터 공유가 가능합니다.

• OAuth 2.0의 주요 구성 요소는 다음과 같습니다: 1. **클라이언트**: 리소스에 접근하고자 하는 애플리케이션으로, 사용자의 허가를 기반으로 API 요청을 수행합니다. 2. **리소스 소유자**: API 접근을 허용할 권한이 있는 사용자입니다. 3. **리소스 서버**: 보호된 자원을 제공하는 서버로, 인증된 요청만을 받아들입니다. 4. **인증 서버**: 클라이언트의 요청을 승인하고 액세스 토큰을 발급하는 서버입니다.

• OAuth 2.0은 다양한 인증 흐름을 지원하지만 가장 일반적인 흐름은 'Authorization Code Flow'입니다. 사용자가 클라이언트 애플리케이션에서 로그인을 시도하면, 클라이언트는 인증 서버의 로그인 페이지로 리디렉션하여 접근 권한을 요청하고, 승인이 완료되면 클라이언트는 인증 서버로부터 액세스 토큰을 발급받아 이를 사용하여 리소스 서버에 접근하게 됩니다.

• 3-2. 웹 서버 애플리케이션에서의 OAuth 2.0 흐름

• 웹 서버 애플리케이션에서 OAuth 2.0을 구현하는 과정은 다음과 같은 단계로 이루어집니다. 첫 번째로, 사용자가 애플리케이션에서 '로그인' 버튼을 클릭하면, 서버는 사용자에게 인증 서버(예: Google, Facebook)로 리디렉션합니다. 웹 서버가 유저의 로그인과 동의를 요청하는 페이지로 이동하게 됩니다. 이 화면에서 사용자는 애플리케이션에 권한을 부여하거나 거부할 수 있습니다.

• 사용자가 권한을 부여하면, 인증 서버는 사용자에게 리디렉션 URI를 통해 'Authorization Code'를 전달합니다. 이 코드는 클라이언트 애플리케이션이 특정 기간 동안 유효한 액세스 토큰을 요청할 때 사용됩니다. 클라이언트 애플리케이션은 이 코드를 가지고 인증 서버에 요청하여, 액세스 토큰을 받고, 필요한 경우 갱신 토큰을 동시에 발급받습니다. 이 액세스 토큰을 사용하여 클라이언트는 API를 호출할 수 있으며, 이 과정에서 사용자 비밀번호를 전송할 필요가 없어 보안이 향상됩니다.

• OAuth 2.0의 구조가 제공하는 장점은 사용자가 직접 비밀번호를 입력할 필요가 없고, 서비스 간의 연동이 보다 간편하다는 점입니다. 예를 들어, 웹 애플리케이션에서 Google API를 사용하면 OAuth 2.0을 통해 Google 계정으로 로그인하고, Google Drive나 YouTube API와 같은 리소스에 접근할 수 있습니다.

• 3-3. Google API와의 통합

• Google API와 OAuth 2.0을 통합하는 과정은 몇 가지 핵심 단계를 포함합니다. 첫 번째 단계는 Google Cloud Console에서 프로젝트를 생성하고 API를 활성화하는 것입니다. API 활성화 후 클라이언트 ID와 비밀 정보를 생성해야 하며, 이는 애플리케이션이 Google 서비스에 접근하는 데 필요한 인증 정보입니다.

• 이후 OAuth 2.0 인증을 위해 클라이언트 애플리케이션에서 로그인 버튼을 클릭하면 사용자가 Google 로그인 페이지로 이동하게 됩니다. 사용자가 로그인을 완료하고 애플리케이션에 대한 접근을 허용하면, Google은 애플리케이션으로 리디렉션하며 인증 코드를 전달합니다. 성정된 리디렉션 URI로 이동하는 과정은 클라이언트 측에서 API 요청을 보다 안전하게 처리할 수 있도록 돕습니다.

• 마지막으로, 애플리케이션은 수신한 인증 코드를 사용하여 Google의 인증 서버에 액세스 토큰 요청을 보내고, 이를 통해 Google API에 접근합니다. 이러한 과정은 애플리케이션을 통한 데이터 보안과 사용자 프라이버시 유지를 극대화하며, OAuth 2.0의 유용성을 극대화하는 방법입니다.

• Google API와의 통합 과정에서 한 가지 유의해야 할 점은 모든 통신이 HTTPS를 통해 이루어져야 보안이 보장된다는 점입니다. 이러한 점을 지키며 OAuth 2.0을 구현하면, 사용자는 안전하게 소셜 로그인 기능을 경험할 수 있습니다.

4. 소셜 로그인 구현하기

• 4-1. Spring Security를 이용한 OAuth 2.0 설정

• 소셜 로그인 구현의 첫 단계는 Spring Security를 활용하여 OAuth 2.0 설정을 진행하는 것입니다. Spring Security는 강력한 보안 설정을 제공하며, OAuth 2.0을 원활하게 지원합니다. 이를 위해, 먼저 `application.yml` 또는 `application.properties` 파일에 OAuth 2.0 클라이언트 정보를 추가해야 합니다. 다음은 Google을 예로 든 설정 예시입니다: ```yaml spring: security: oauth2: client: registration: google: client-id: YOUR_CLIENT_ID client-secret: YOUR_CLIENT_SECRET scope: email, profile redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}' provider: google: authorization-uri: https://accounts.google.com/o/oauth2/auth token-uri: https://oauth2.googleapis.com/token user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo ``` 위 설정에서 `client-id`와 `client-secret`는 Google 개발자 콘솔에 등록한 후 발급받아야 합니다. OAuth 설정이 완료되면, Spring Security의 `SecurityConfig` 클래스를 생성하여 다음과 같이 기본 보안 설정을 할 수 있습니다: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login/**", "/oauth2/**").permitAll() .anyRequest().authenticated() .and() .oauth2Login() .defaultSuccessUrl("/success-oauth") .userInfoEndpoint() .userService(principalOauth2UserService()); } @Bean public PrincipalOauth2UserService principalOauth2UserService() { return new PrincipalOauth2UserService(); } } ```

• 4-2. JWT 발급 방식 이해하기

• JSON Web Token(JWT)는 사용자 인증을 위한 중요한 방식입니다. 소셜 로그인이 성공적으로 이루어진 이후, 사용자의 정보를 안전하게 전송하기 위해 JWT를 발급합니다. JWT는 주로 세 부분으로 구성되어 있습니다: 헤더(header), 페이로드(payload), 서명(signature). 발급 프로세스는 다음과 같은 단계로 진행됩니다: 1. **사용자 인증**: 사용자가 Google과 같은 소셜 로그인 서비스를 통해 인증을 성공적으로 통과합니다. 2. **사용자 정보 조회**: `PrincipalOauth2UserService`에서 소셜 서비스로부터 사용자 정보를 받아온 후, 이를 기반으로 데이터베이스에 저장하거나 인증 절차를 밟습니다. 3. **JWT 생성**: 사용자 정보와 권한을 포함한 JWT를 생성합니다. 이 과정은 `JwtProvider` 클래스를 통해 이루어지며, JWT는 비밀 키를 사용하여 서명됩니다. 예를 들어: ```java public TokenDTO createToken(UserDetails userDetails) { long now = (new Date()).getTime(); Claims claims = Jwts.claims().setSubject(userDetails.getUsername()); claims.put("auth", userDetails.getAuthorities()); String accessToken = Jwts.builder() .setClaims(claims) .setIssuedAt(new Date(now)) .setExpiration(new Date(now + ACCESS_TOKEN_EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); return new TokenDTO("Bearer", accessToken); } ``` 이렇게 생성된 JWT는 클라이언트에게 전송되어 이후 API 호출 시 인증을 위해 사용됩니다.

• 4-3. 소셜 로그인 처리 과정

• 소셜 로그인 처리 과정은 다음과 같은 흐름으로 진행됩니다: 1. **OAuth 2.0 인증 과정**: 사용자가 소셜 로그인 버튼을 클릭하면, OAuth 2.0 프로토콜에 따라 인증 서버로 리다이렉트됩니다. 인증 서버는 사용자의 자격 증명을 요구합니다. 2. **인증 성공 후 리다이렉트**: 사용자가 인증에 성공하면, 인증 서버는 지정된 redirect URI로 응답하고, 이 URI에서 사용자 정보를 요청합니다. Spring Security의 `oauth2Login()`에서 이 프로세스를 처리합니다. 3. **사용자 정보를 `PrincipalOauth2UserService`로 전달**: OAuth 인증이 완료되면, `PrincipalOauth2UserService`의 `loadUser()` 메소드가 호출되어 사용자의 정보를 가져옵니다. 이 과정에서 사용자 정보를 객체로 변환하고, 기존의 사용자 계정이 없는 경우 신규 사용자로 등록하는 로직이 수행됩니다. ```java @Override public PrincipalDetails loadUser(OAuth2UserRequest userRequest) { OAuth2User oAuth2User = super.loadUser(userRequest); // 사용자 정보를 DB에 저장 // 기존 사용자 확인 및 신규 가입 처리 } ``` 4. **JWT 발급**: 마지막으로, 인증된 사용자의 정보로 JWT가 발급되고 클라이언트에게 반환됩니다. 클라이언트는 이 JWT를 HTTP 헤더에 담아 다른 API 요청에 사용하여 인증을 유지합니다.

5. 프로젝트 환경 설정 및 관리

• 5-1. Spring Boot 3.2.3 설정

• Spring Boot 3.2.3은 최신 기능을 지원하는 안정적인 프레임워크로, 마이크로서비스 아키텍처(MSA) 환경에서 더욱 효과적으로 활용될 수 있습니다. Spring Boot의 주요 장점 중 하나는 전통적인 Spring 애플리케이션에 비해 개발과 설정이 간소화된다는 점입니다. 3.2.3 버전에서는 JDK 17 이상을 권장하며, 다양한 스타터 의존성을 사용하여 필요한 라이브러리를 쉽고 간편하게 추가할 수 있습니다.

• 프로젝트를 시작하기 위해서는 먼저 Spring Initializr 웹사이트를 통해 기본 프로젝트 골격을 생성하는 것이 좋습니다. 필요한 의존성, 예를 들어 Spring Web, Spring Data JPA 등을 선택하여 Maven 또는 Gradle 방식으로 프로젝트를 생성합니다. 이후, application.yml 파일을 통해 데이터베이스의 접속 정보 및 기타 설정들을 정의할 수 있습니다.

• 5-2. 프로파일 분리와 환경 변수 관리

• 프로젝트를 운영 환경에 배포하기 위해서는 개발과 운영 환경을 분리하는 것이 중요합니다. 이를 위해 Spring Boot에서는 프로파일 기능을 제공하여 환경별로 설정을 구분할 수 있습니다. 예를 들어, 개발 환경과 운영 환경을 각각 'dev'와 'prod' 프로파일로 설정할 수 있습니다.

• 이렇게 설정할 경우, 각 환경에 맞는 application-dev.yml 및 application-prod.yml 파일을 만들고, 필요한 속성을 각 파일에 설정합니다. 데이터베이스 접속 정보와 같은 민감한 정보는 환경 변수로 관리하는 것이 바람직합니다. 예를 들어, DB_HOST, DB_USERNAME, DB_PASSWORD 등의 변수를 사용하여 application.yml 파일에서 ${DB_HOST}와 같은 형태로 참조할 수 있습니다. 환경 변수 관리 방법에 따라 보안성을 높일 수 있습니다.

• 5-3. 수준별 요구사항 설정

• 마이크로서비스 아키텍처에서는 각각의 서비스가 독립적으로 배포되고 관리될 수 있도록 요구사항을 잘 정의하는 것이 중요합니다. 이때 목표로 하는 서비스의 수준에 따라 요구사항을 정리할 수 있습니다. 예를 들어, 하나의 서비스는 사용자 인증을 담당하며 다른 서비스는 데이터 저장을 담당할 수 있습니다.

• 각 서비스의 요구사항은 기술적 요구사항, 보안 요구사항, 성능 요구사항 등으로 구분할 수 있습니다. 이 요구사항들을 문서화하여 개발 팀과 이해관계자 간에 명확한 이해를 도모해야 합니다. 또한, 예외 처리 및 오류 로그 관리와 같은 부분도 명확한 요구사항으로 설정하여 개발 중 혼란을 방지해야 합니다.

6. 결론 및 향후 방향

• 6-1. 프로젝트의 주요 발견 사항 요약

• 본 프로젝트에서는 Spring Boot를 활용한 마이크로서비스 아키텍처(MSA) 환경에서 OAuth 2.0을 통한 소셜 로그인 구현의 여러 측면을 탐구하였습니다. 주요 발견 사항은 소셜 로그인 구현을 위한 Spring Security의 활용과 JWT(JSON Web Token) 기반 인증 방식을 통해 보안성과 사용 편의성을 동시에 확보할 수 있다는 점입니다. 이러한 접근 방식을 통해 사용자는 쉽게 소셜 로그인을 사용할 수 있으며, 개발자는 복잡한 인증 과정을 간소화할 수 있습니다.

• 또한, OAuth 2.0 프로토콜의 이해를 통해 개발자들이 소셜 로그인의 보안 이슈를 사전에 인지하고 이에 대한 반응을 계획할 수 있는 중요한 인사이트를 제공받았습니다. 마이크로서비스 환경에서의 요구 사항에 적합한 인증 방식의 설정과 관리는 더욱 중요해지며, 개발자는 이러한 경향에 적응하기 위해 지속적으로 학습해야 합니다.

• 6-2. OAuth 2.0의 중요성과 발전 방향

• OAuth 2.0은 현대 웹 애플리케이션의 인증 표준으로 자리잡고 있으며, 앞으로도 다양한 플랫폼과 서비스에서 채택될 가능성이 큽니다. 특히 모바일 애플리케이션과 IoT(Internet of Things) 기기가 증가함에 따라, OAuth 2.0은 그 중요성에서 더욱 부각될 것입니다. 개발자들은 이 프로토콜의 메커니즘을 깊이 이해하고, 최신 보안 트렌드와 결합하여 안전한 인증 방식을 설계해야 합니다.

• 앞으로의 발전 방향은 OAuth 2.1과 같은 차세대 프로토콜의 도입과 더불어, 사용자 인증 과정에서의 편리함을 고려한 UX(User Experience)에 대한 중점적인 연구가 필요할 것입니다. 또한, AI와의 결합을 통해 사용자 행동 분석 및 이상 탐지 기능이 강화될 것으로 예상되며, 이는 보다 안전하고 효율적인 인증 방식을 제시할 것입니다.

결론

• Spring Boot를 활용한 마이크로서비스 환경에서의 OAuth 2.0 기반 소셜 로그인 구현을 통해 다루어진 주요 발견사항은 보안성과 사용 편의성을 동시에 확보하는 것이었습니다. Spring Security와 JWT를 통해 소셜 로그인 프로세스를 간소화하였으며, 이로 인해 사용자는 안전하게 소셜 로그인을 활용할 수 있고, 개발자는 복잡한 인증 로직을 보다 수월하게 다룰 수 있습니다. 이러한 점들은 현대 웹 애플리케이션의 필수적인 요소로 자리 잡고 있습니다.

• 앞으로 OAuth 2.0의 필요성은 더욱 강조될 것이며, 다양한 서비스와 플랫폼에서 필수적인 인증 수단으로 자리 잡을 것입니다. 특히, 모바일 환경과 IoT 기기에서의 적용은 더욱 필수적이며, 이에 따라 개발자들은 최신 보안 트렌드와 통합된 인증 방식을 연구하고 구현해야 할 요구가 커지고 있습니다. 또한, OAuth 2.1과 같은 진화된 프로토콜의 도입과 사용자 경험을 고려한 UX 설계는 다가오는 인증의 미래에서 중요한 역할을 할 것입니다.

• 결론적으로, 이와 같은 인증 방식을 연구하고 지속적으로 개선하는 것은 보안성과 효율성을 모두 갖춘 현대 애플리케이션 개발의 필수 과제가 될 것으로 예상되어, 이후에도 지속적인 관심과 노력이 필요합니다.

용어집

• 마이크로서비스 아키텍처(MSA) [개념]: 애플리케이션을 모듈화하여 독립적인 서비스로 배포할 수 있도록 하는 접근 방식으로, 복잡성을 줄이고 서비스의 자율성을 증가시킨다.

• OAuth 2.0 [프로토콜]: 사용자 인증 및 권한 부여를 위한 표준 프로토콜로, 사용자가 비밀번호를 공유하지 않고도 애플리케이션에 데이터 접근 권한을 부여할 수 있다.

• Authorization Code Flow [흐름]: OAuth 2.0에서 가장 일반적인 인증 흐름으로, 사용자가 클라이언트 애플리케이션에서 로그인 시도 후 인증 서버로 리디렉션되는 과정을 포함한다.

• JWT (JSON Web Token) [형식]: 사용자 인증을 위한 토큰 형식으로, 헤더, 페이로드, 서명 세 부분으로 구성되어 사용자 정보를 안전하게 전송하는 데 사용된다.

• Spring Security [프레임워크]: 강력한 보안 설정을 제공하는 프레임워크로, OAuth 2.0을 효과적으로 지원하여 애플리케이션의 인증 및 권한 관리를 용이하게 한다.

• 클라이언트 ID [인증 정보]: 서드파티 애플리케이션이 OAuth 2.0 인증 서버에 접근하기 위해 사용하는 고유 식별자로, 애플리케이션을 인증하는 데 필요하다.

• 리소스 서버 [서버]: 보호된 자원을 제공하는 서버로, 인증된 요청만을 수용하여 보안성을 유지한다.

• 인증 서버 [서버]: 클라이언트의 인증 요청을 승인하고 액세스 토큰을 발급하는 역할을 하는 서버이다.

출처 문서

• SpringBoot 으로 MSA 구현하기(2) - Spring Web MVC 기능(1)https://devocean.sk.com/blog/techBoardDetail.do?ID=165272&boardType=techBlog
• 웹 서버 애플리케이션용 OAuth 2.0 사용 | Authorization | Google for Developershttps://developers.google.com/identity/protocols/oauth2/web-server?hl=ko
• 소셜 로그인 후 JWT 발급 - 인프런 | 커뮤니티 질문&답변https://www.inflearn.com/questions/949182/%EC%86%8C%EC%85%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%ED%9B%84-jwt-%EB%B0%9C%EA%B8%89?srsltid=AfmBOoqfmPSJPO8Ue-8s4VSkw--QQyysWolWnkWw0g-xUgR-sWBuyGlt
• 소셜 로그인 후 JWT 발급 - 인프런 | 커뮤니티 질문&답변https://www.inflearn.com/questions/949182/%EC%86%8C%EC%85%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%ED%9B%84-jwt-%EB%B0%9C%EA%B8%89?srsltid=AfmBOooV8DTPzO4KymFDQfqo8bYjg08rR3sXE1kbHGQmeOc3QMjdT5Y8
• Create a standalone Owl applicationhttps://www.odoo.com/documentation/17.0/ko/developer/howtos/standalone_owl_application.html
• 미니프로젝트 - step1 - 양성빈님의 블로그 - 인프런 | 커뮤니티https://www.inflearn.com/blogs/7076