JWT내부 Recruitment 권한 인증 관련

[Juhongseok]

@KAispread

전날 정리한 내용

• JWT claim 값으로 user.id, user.authority 부여
• JWT 생성 시점에서 모집 글을 작성한 내역이 있으면 모집 글 관련 권한을 추가로 받아서 claim 값에 부여
• Recruitment에 관련해서 1차적으로 Spring Security를 이용하여 권한 확인 후 Interceptor를 통해서 2차적으로 해당 모집 글애 직접적으로 권한이 있는지 확인

생각 정리

1. JWT 는 기본적으로 로그인 시점에 생성이 되는데 만약 로그인 전에 모집 글 작성 내역이 있다면 상관이 없는데 내역이 없는 상태에서 로그인 후 작성을 하게 되면 JWT claim 값으로는 모집 글 관련 권한이 들어가지 않음
   
   이 부분에서 해결 할 수 있는 방안이 모집 글을 작성을 하게 되면 JWT 새로 발행 후 전달을 해주는 방법이 있다고 생각하는데 발행하는 시점이 너무 많아져 관리가 힘들어 질 수도 있다고 생각

2. 만약 위 내용에 대해서 저렇게 처리를 한다 해도 모집 글에 참석이 승인된 사용자들은 추가적으로 JWT 발행을 추가적으로 진행을 해 줄 방도가 없음
   
   로그인이 만료된 시점에서 승인이 된다면 추후 로그인 후 권한을 받을 수 있지만 로그인 상태인 경우 승인에 대한 여부를 알 수 없고 알 수 있더라도 해당 JWT를 가져와 재 발행을 해줄 방도가 없음

결론

Spring Security 에서는 모든 경로에 대해서 authentication 처리를 하고 필요한 부분에서만 허용을 하는 방식으로 변경하고, Recruitment에 관해서는 Interceptor를 통해서 인증을 하는 것이 어떤가요??

[Juhongseok]

자답입니다
Security 에서 권한을 처리하는 부분을 확인하면서 AuthorizationManager를 사용하면 해결이 가능할 수 있을 것 같아요
한번 해보고 정리해서 공유 드릴게요

[KAispread]

결국엔 JWT claim에 저장된 ROLE에 따라 FilterChain을 통해 권한을 처리하는 방식은 문제점이 있고, 결국 AuthorizationManager을 통해서 권한 체크하는 부분을 DB에 값을 확인하는 방식으로 따로 구현해서 처리한다는 것으로 이해하면 될까요?

[Juhongseok]

결국 AuthorizationManager을 통해서 권한 체크하는 부분을 DB에 값을 확인하는 방식으로 따로 구현해서 처리한다는 것 이 부분에 대해서는 맞는데 AuthorizationManager도 결국은 AuthorizationFilter 내부에서 사용하는 객체여서 FilterChain내부에서 동작을 하는 것은 맞아요

특정 uri 요청이 오면 해당 uri를 파싱하고 userId를 통해 DB값을 조회해서 동적으로 처리가 가능할 것 같아요

[KAispread]

아 그렇군요 security 에서 권한 관련된 부분도 더 알아보겠습니다

[Juhongseok]

적용하면서 공부했던 AuthorizationManager 정리 내용 입니다

보고 도움이 되시면 좋겠어요