웹 애플리케이션의 보안은 사용자와 리소스를 보호하는 데 있어 필수적인 요소입니다. 특히, 인증(Authentication)과 인가(Authorization)는 이러한 보안 체계의 핵심입니다. 이번 포스트에서는 Nest.js 프레임워크를 활용하여 JWT(JSON Web Token)와 OAuth2를 설정하는 방법에 대해 알아보겠습니다.
인증과 인가의 차이
인증과 인가는 서로 다른 개념으로, 각각의 역할이 중요합니다.
- 인증: 사용자가 누구인지 확인하는 과정입니다. 일반적으로 로그인 시 사용자가 입력한 이메일과 비밀번호가 데이터베이스에 저장된 정보와 일치하는지를 검증합니다.
- 인가: 인증된 사용자가 특정 리소스에 접근할 수 있는 권한이 있는지를 결정하는 과정입니다. 예를 들어, 관리자는 모든 데이터를 조회할 수 있는 권한을 가지지만, 일반 사용자에게는 제한된 데이터만 보여주는 경우가 이에 해당합니다.
JWT (JSON Web Token)
JWT는 클라이언트와 서버 간의 정보를 안전하게 전송하기 위한 방법으로, 주로 인증 과정에서 사용됩니다. JWT는 간결하면서도 강력한 보안 기능을 제공하여, 사용자 인증 정보를 안전하게 관리할 수 있도록 돕습니다.
JWT 구조
JWT는 세 부분으로 구성되어 있습니다:
- 헤더(Header): 토큰의 유형(JWT)과 서명 알고리즘(예: HMAC SHA256)을 포함합니다.
- 페이로드(Payload): 사용자에 대한 정보(예: 사용자 ID, 만료 시간 등)를 담고 있습니다.
- 서명(Signature): 헤더와 페이로드를 조합하여 생성된 값으로, 서버에서 발급한 토큰임을 증명합니다.
Nest.js에서 JWT 설정하기
Nest.js에서는 @nestjs/jwt 패키지를 이용하여 쉽게 JWT를 사용할 수 있습니다. 다음은 기본적인 설정 예시입니다:
import { Module } from '@nestjs/common';
import { JwtModule } from '@nestjs/jwt';
@Module({
imports: [
JwtModule.register({
secret: 'yourSecretKey', // 비밀 키
signOptions: { expiresIn: '60s' }, // 토큰 유효 기간
}),
],
})
export class AuthModule {}로그인 및 토큰 발급
사용자가 로그인하면 다음과 같은 방식으로 JWT를 발급할 수 있습니다:
import { Injectable } from '@nestjs/common';
import { JwtService } from '@nestjs/jwt';
@Injectable()
export class AuthService {
constructor(private readonly jwtService: JwtService) {}
async login(userId: string) {
const payload = { userId };
return {
access_token: this.jwtService.sign(payload),
};
}
}OAuth2
OAuth2는 타사 애플리케이션이 자원 소유자의 허락 없이 자원 서버에 접근하도록 하는 프로토콜입니다. 주로 소셜 로그인을 통해 많이 활용됩니다. 이 프로토콜은 사용자에게 보다 편리한 인증 방법을 제공하며, 보안성을 높이는 데 기여합니다.
OAuth2 흐름 이해하기
OAuth2에는 여러 흐름(grant type)이 있지만, 가장 일반적으로 사용하는 것은 Authorization Code Grant입니다. 이 흐름은 다음과 같은 단계로 진행됩니다:
- 클라이언트가 사용자에게 권한 요청을 합니다.
- 사용자가 요청을 승인하면, 클라이언트에게 코드가 반환됩니다.
- 클라이언트는 이 코드를 이용해 액세스 토큰을 요청합니다.
- 클라이언트는 받은 액세스 토큰을 사용하여 API를 호출합니다.
Nest.js에서 Passport와 함께 OAuth 설정하기
Nest.js에서는 passport 라이브러리를 통해 다양한 전략을 쉽게 구현할 수 있습니다. 다음은 Google OAuth 전략 구현 예시입니다:
import { Injectable } from '@nestjs/common';
import { Strategy } from 'passport-google-oauth20';
import { PassportStrategy } from '@nestjs/passport';
@Injectable()
export class GoogleStrategy extends PassportStrategy(Strategy, 'google') {
constructor() {
super({
clientID: process.env.GOOGLE_CLIENT_ID,
clientSecret: process.env.GOOGLE_CLIENT_SECRET,
callbackURL : 'http://localhost/auth/google/callback',
scope:['email','profile'],
});
}
async validate(accessToken:string, refreshToken:string , profile:any){
return profile;
}
}실용적인 예제 적용
실제로 프로젝트에서 JWT와 OAuth2를 결합하여 사용할 때는 다음 단계를 고려해야 합니다:
- 회원가입 또는 로그인을 통한 기본 인증 후 JWT를 발급합니다.
- 소셜 로그인을 추가하고, 이를 통해 받은 정보를 바탕으로 새로운 사용자를 등록하거나 기존 사용자를 업데이트합니다.
- 각 API 엔드포인트에 대해 적절히 가드를 적용하여 권한 체크를 진행합니다 (예: 관리자만 접근 가능한 경로).
이러한 과정을 통해 여러분은 강력하고 유연한 인증 및 인가 시스템을 구축할 수 있으며, 이는 애플리케이션의 보안을 크게 향상시킬 것입니다. 이러한 시스템은 사용자 경험을 개선하고, 데이터 보호를 강화하는 데 중요한 역할을 할 것입니다.
'프로그래밍 > Nest.js' 카테고리의 다른 글
| Nest.js 애플리케이션의 성능 최적화 및 모니터링 전략 (1) | 2025.03.19 |
|---|---|
| Nest.js에서의 컨트롤러: 웹 애플리케이션의 중추적 역할 (0) | 2025.03.19 |
| Nest.js 프로젝트 설정: 기본 설정 및 환경 설정 가이드 (0) | 2025.03.18 |
| 미들웨어의 중요성과 Nest.js에서의 활용 (0) | 2025.03.18 |
| Nest.js에서의 인증 및 권한 가드: 보안의 기초 (0) | 2025.03.18 |