본문 바로가기
Dart/Dart Server

[중급] Dart 서버 인증 및 보안/ JWT(JSON Web Token)를 사용한 사용자 인증 구현

by Maccrey Coding 2024. 9. 12.
728x90
반응형

 

 

Dart는 Flutter와 함께 프론트엔드 개발에서 인기가 있지만, Dart를 사용하여 백엔드 서버를 구축하는 것도 가능합니다.

서버를 구축할 때 가장 중요한 요소 중 하나는 인증 및 보안입니다.

이 블로그에서는 JWT(JSON Web Token)를 사용한 사용자 인증에 대해 초보자도 쉽게 이해할 수 있도록 설명하겠습니다.

1. JWT란 무엇인가?

JWT는 JSON 데이터를 사용하여 정보의 신뢰성을 보장하는 토큰 형식입니다.

JWT는 주로 사용자 인증을 위해 사용되며, 서버는 클라이언트에게 토큰을 발급하고 클라이언트는 해당 토큰을 이용해 서버에 인증 요청을 보낼 수 있습니다.

JWT의 구조

JWT는 3개의 부분으로 구성된 문자열입니다. 각 부분은 . 으로 구분됩니다.

header.payload.signature
  • Header: JWT의 타입과 해싱 알고리즘을 명시합니다.
  • Payload: 토큰에 담길 데이터(클레임)를 포함합니다. 예를 들어, 사용자 정보(ID, 이메일 등)가 들어갑니다.
  • Signature: Header와 Payload를 서버에서 비밀 키로 서명한 값으로, 토큰이 변조되지 않았음을 보장합니다.

JWT의 장점

  • 상태 비저장: 서버는 JWT를 발급한 후 토큰 자체에 정보를 포함시키기 때문에, 서버가 별도의 세션을 관리할 필요가 없습니다.
  • 확장성: 여러 서버에서 동일한 JWT를 사용할 수 있습니다.
  • 보안성: 서버 측에서 서명된 토큰은 변조될 수 없으므로, 클라이언트가 위변조된 토큰을 제출하는 것을 방지할 수 있습니다.

2. Dart 서버에서 JWT를 사용한 사용자 인증 구현하기

이제 Dart를 사용하여 JWT를 기반으로 한 사용자 인증 시스템을 구축해보겠습니다.

2.1 기본 설정

우선 Dart 프로젝트를 생성하고, 필요한 패키지를 추가해야 합니다.

shelf는 서버를 구축할 때 자주 사용하는 패키지이며, dart_jsonwebtoken 패키지는 JWT 생성과 검증을 도와줍니다.

dart create dart_jwt_auth
cd dart_jwt_auth

pubspec.yaml 파일에 아래와 같이 필요한 패키지를 추가합니다.

dependencies:
  shelf: ^1.2.0
  shelf_router: ^1.0.0
  dart_jsonwebtoken: ^2.0.0

패키지를 설치하려면 다음 명령어를 실행하세요.

dart pub get

2.2 서버 구현

bin/main.dart 파일을 열고 기본적인 서버를 구성해봅시다.

import 'dart:io';
import 'package:shelf/shelf.dart';
import 'package:shelf/shelf_io.dart' as io;
import 'package:shelf_router/shelf_router.dart';

void main() async {
  final router = Router();

  router.get('/', (Request request) {
    return Response.ok('Hello, Dart Server!');
  });

  final handler = Pipeline().addMiddleware(logRequests()).addHandler(router);

  final server = await io.serve(handler, InternetAddress.anyIPv4, 8080);
  print('Server listening on port ${server.port}');
}

이 코드는 기본적인 HTTP 서버를 설정하고, / 경로에 Hello, Dart Server!라는 응답을 반환합니다.

2.3 JWT 토큰 생성

이제 JWT를 사용하여 인증 토큰을 생성하는 API를 추가해봅시다. 사용자가 로그인할 때, 서버는 사용자에게 JWT 토큰을 발급합니다.

import 'package:dart_jsonwebtoken/dart_jsonwebtoken.dart';

// JWT 비밀 키 (서버에서만 알고 있는 값)
const secretKey = 'your-secret-key';

// 로그인 후 JWT 토큰 생성
Response login(Request request) {
  // 실제로는 DB에서 사용자 정보를 검증한 후 JWT 발급
  // 여기서는 예시로 사용자 ID만 넣겠습니다.
  final jwt = JWT({
    'id': 'user123',  // 사용자 정보
    'role': 'user',   // 사용자의 권한 정보 등
  });

  // 토큰을 비밀 키로 서명하여 생성
  final token = jwt.sign(SecretKey(secretKey), expiresIn: Duration(hours: 1));

  return Response.ok(token);
}

이 코드는 /login 경로로 요청이 들어왔을 때 사용자에게 JWT 토큰을 생성하여 반환합니다.

실제로는 데이터베이스와 연동하여 사용자의 ID와 비밀번호를 검증한 후 토큰을 발급해야 하지만, 여기서는 간단한 예시로 user123이라는 ID만 담아 토큰을 발급합니다.

2.4 인증된 요청 처리

JWT를 사용한 인증에서는 클라이언트가 서버에 요청을 보낼 때 Authorization 헤더에 JWT 토큰을 담아 보냅니다.

서버는 이 토큰을 검증하여 해당 사용자가 인증된 사용자인지 확인합니다.

// JWT 토큰 검증
Middleware checkAuthorization() {
  return (innerHandler) {
    return (Request request) async {
      final authHeader = request.headers['Authorization'];

      if (authHeader == null || !authHeader.startsWith('Bearer ')) {
        return Response.forbidden('Missing or invalid Authorization header');
      }

      // Authorization 헤더에서 JWT 토큰 추출
      final token = authHeader.substring(7);

      try {
        // 토큰 검증
        final jwt = JWT.verify(token, SecretKey(secretKey));
        print('Token is valid. Payload: ${jwt.payload}');

        // 사용자 인증이 완료된 상태로 요청을 처리
        return innerHandler(request);
      } catch (e) {
        // 토큰이 유효하지 않거나 만료된 경우
        return Response.forbidden('Invalid or expired token');
      }
    };
  };
}

이 미들웨어는 들어오는 요청의 Authorization 헤더에서 JWT 토큰을 추출하고, 이를 검증한 후 토큰이 유효한지 확인합니다.

토큰이 유효하면 요청을 처리하고, 그렇지 않으면 403 Forbidden 응답을 반환합니다.

2.5 인증 미들웨어 적용

이제 특정 경로에 JWT 인증 미들웨어를 적용해봅시다.

void main() async {
  final router = Router();

  router.get('/', (Request request) {
    return Response.ok('Hello, Dart Server!');
  });

  router.post('/login', login);

  router.get('/protected', (Request request) {
    return Response.ok('This is a protected route');
  });

  final handler = Pipeline()
      .addMiddleware(logRequests())
      .addMiddleware(checkAuthorization()) // 인증 미들웨어 추가
      .addHandler(router);

  final server = await io.serve(handler, InternetAddress.anyIPv4, 8080);
  print('Server listening on port ${server.port}');
}

여기서는 /protected 경로에 접근할 때 JWT 인증을 요구하도록 설정했습니다.

인증된 사용자는 이 경로에 접근할 수 있지만, 인증되지 않은 사용자는 접근할 수 없습니다.

3. 테스트 및 실행

1. 서버를 실행합니다.

dart run bin/main.dart

2. Postman 또는 Curl을 사용하여 /login 경로로 POST 요청을 보내 JWT 토큰을 받습니다.

curl -X POST http://localhost:8080/login

3. 받은 JWT 토큰을 이용해 Authorization 헤더에 Bearer <토큰> 형식으로 /protected 경로에 요청을 보냅니다.

curl -H "Authorization: Bearer <your-jwt-token>" http://localhost:8080/protected

유효한 토큰을 제공하면, 보호된 경로에 접근할 수 있습니다. 그렇지 않으면 403 Forbidden 응답이 반환됩니다.

 

이 블로그에서는 Dart 서버에서 JWT를 사용한 사용자 인증 시스템을 구현하는 방법을 살펴보았습니다.

JWT는 서버가 상태를 저장하지 않고도 안전하게 사용자 인증을 처리할 수 있는 강력한 도구입니다.

Dart 서버를 구축하면서 JWT를 이용한 인증을 구현하면, 다양한 웹 및 모바일 애플리케이션에서 안전한 사용자 인증을 제공할 수 있습니다.

 

추가로 보안을 강화하려면 HTTPS 적용, 비밀 키 관리, 토큰 만료 처리 등 여러 요소를 고려할 수 있습니다.

구독!! 공감과 댓글은 저에게 큰 힘이 됩니다.

Starting Google Play App Distribution! "Tester Share" for Recruiting 20 Testers for a Closed Test.

 

Tester Share [테스터쉐어] - Google Play 앱

Tester Share로 Google Play 앱 등록을 단순화하세요.

play.google.com

728x90
반응형