-
Notifications
You must be signed in to change notification settings - Fork 0
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Fix: JWT User Principal 식별 로직 #77
Conversation
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
작업 내용 확인했습니다~
그리고 아래의 논의점에 관한 부분은
UserRepository에서 객체를 찾는 로직을 parameter type에 따라 선택해야 합니다.
User : JWTAuthArgumentResolver에서 조회 + 유효성 검증 후 Controller 전달
검증의 목적이 분명해지나, 같은 유저가 여러 번 token을 넣고 요청하는 만큼 탐색하므로 복잡도가 커집니다.
(Context, user verified event 등으로 처리할 수도 있습니다.)
Long: userId로 받고 API 내 service layer에서 검증
해당 userId를 쓰는 경우에만 service에서 사용할 수 있습니다. 다만 인증 요구 API parameter를 모두 수정해야 합니다.
총 두 가지 이유로 Service Layer에서 User를 조회하는 것을 선호합니다.
- 프레젠테이션 레이어에서 더 이상 데이터 계층을 접근하지 않게 됨
- 쿼리 발생 지역을 어플리케이션 레이어로만 국한시킬 수 있음
- 데이터베이스까지의 네트워크 왕복 비용을 한번 더 줄일 수 있음 (1 RTT 감소)
- 디버깅, 최적화 용이
- 검증은 필요한 곳에서만 해도 된다는 입장임
- 서비스 규모가 커짐에 따라 검증은 과도하게 늘어날 수 있음
- 불필요한 검증을 줄이는 것도 하나의 중요 요소라고 생각함
- SECURITY_GLOBAL_WHITELIST : 모든 사용자에게 인증 없이 접근 허용되는 경로를 관리한다.
- JWT_USER_AUTHENTICATION_WHITELIST : 토큰 기반의 사용자 인증만을 거치지 않고 접근 허용되는 경로를 관리한다.
인증 방식을 세션에서 토큰으로 전환하는 과정이 꽤나 많은 부가작업이 수반되었네요. 🙄 주요 도메인을 incoming request에서 persistence로 직접 찌르는 예외적 규칙이 생기는 것이 부자연스럽다고 느껴지네요. |
🚀 Related Issue
close: #76
📌 Tasks
User
식별 Access token payload 검증 필터를 추가했습니다.5xx
에러 발생 시 공통 응답에 wrapping 되도록 custom error 객체를 구현했습니다.📝 Details
이제 모든 인증 요청 (
credential = true
) 시 Security filter 내에서 항상 토큰을 해석합니다.payload 내 유저 정보는
id
,ROLE
만을 가집니다.📚 Remarks
@UserAuthentication
을 사용하는 모든 API 의 parameter type은 다음과 같습니다.문제사항 :
User
의 검증이 불확실한 상태로 Presentation Layer에 userId가 전달됩니다.id
만을 가지므로, User 객체의 실재여부는 인증 과정에서 확인되지 않습니다.UserRepository
에서 객체를 찾는 로직을 parameter type에 따라 선택해야 합니다.User
:JWTAuthArgumentResolver
에서 조회 + 유효성 검증 후 Controller 전달(Context, user verified event 등으로 처리할 수도 있습니다.)
Long
:userId
로 받고 API 내 service layer에서 검증