Merge pull request #15 from Hoyoung027/Hoyoung027

[22기_변호영] Spring Security & JWT 미션 제출합니다.

Author: Gothax

README.md

@@ -3,7 +3,7 @@
 **영화관 예매 및 주문 시스템**을 구현하기 위한 데이터베이스 구조를 설계하였습니다.  
 주요 기능은 영화관 탐색, 영화 탐색, 상영 스케줄 확인, 유저의 예매 및 주문, 찜하기입니다.
 
-![img.png](img.png)
+![img_1.png](img_1.png)
 
 ---
 
@@ -128,8 +128,8 @@
 
 ---
 
-### 11. 영화관 찜하기 (theater_like)
-- `theater_like_id` (PK)
+### 11. 영화관 찜하기 (cinema_like)
+- `cinema_like` (PK)
 - `user_id` : 유저 id
 - `cinema_id` : 영화관 id  
 - 다른 테이블과의 관계는 아래와 같습니다.  
@@ -145,3 +145,111 @@
   ➡️ **N:M** (user ↔ movie)
 
 ---
+
+# 인증(Authentication) 방법 정리
+
+## 1. 세션(Session) & 쿠키(Cookie) 인증
+
+### 인증 흐름
+1. 사용자가 로그인 요청을 보냅니다.
+2. 서버는 사용자 정보를 확인한 뒤 **세션 ID**를 생성하고 세션 저장소에 기록합니다.
+3. 서버는 Session ID를 쿠키에 담아 클라이언트로 전달합니다.
+4. 클라이언트는 이후 요청마다 쿠키(Session ID)를 포함시킵니다.
+5. 서버는 세션 저장소와 대조해 사용자를 확인하고 데이터를 반환합니다.
+
+### 장점
+- 실제 정보는 서버에 저장, 쿠키는 **세션 키(출입증)** 역할만 함 → 보안성 상대적으로 우수
+- 매번 회원 정보를 확인하지 않아도 되므로 인증 속도가 빠름
+
+### 단점
+- 쿠키 탈취 시 **세션 하이재킹 공격** 발생 가능 → HTTPS + 세션 만료 시간 설정 필요
+- 세션 저장을 위해 **서버 자원(메모리/DB 등)** 필요
+
+---
+
+## 2. JWT 기반 인증 (Access Token)
+
+### 구조
+- **Header**: 토큰 타입(JWT), 알고리즘(HS256 등)
+- **Payload**: 사용자 ID, 권한, 만료시간 등 Claims
+- **Signature**: 위·변조 방지용 서명 (Header + Payload + Secret Key 기반)
+
+### 인증 흐름
+1. 사용자가 로그인 요청을 보냅니다.
+2. 서버는 사용자 정보를 확인 후 JWT(Access Token)를 생성합니다.
+3. 클라이언트는 Access Token을 전달받아 저장합니다.
+4. 이후 요청마다 `Authorization: Bearer <token>` 헤더에 토큰을 담아 전송합니다.
+5. 서버는 토큰의 유효성(서명, 만료시간)을 확인 후 데이터를 반환합니다.
+
+### 장점
+- 서버 저장소가 불필요하고 **무상태(stateless)** 구조에 적합합니다.
+- 다른 서비스와의 연동이 용이합니다.
+
+### 단점
+- 만료 전까지 강제 무효화 어렵습니다. (탈취 시 위험)
+- Payload는 누구나 디코딩 가능하여 민감 정보 저장이 불가능합니다.
+- 토큰 크기가 커서 요청 많을 시 트래픽 비용 증가합니다.
+
+---
+
+## 3. Access Token + Refresh Token 인증
+
+### 개념
+- **Access Token**: 짧은 유효기간(예: 1시간), API 요청시 인증/인가에 사용
+- **Refresh Token**: 긴 유효기간(예: 2주), Access Token이 만료되었을 때 재발급 용도로 사용
+
+### 인증 흐름
+1. 로그인 성공 시 서버는 Access Token과 Refresh Token을 발급합니다.
+2. 클라이언트는 Access Token을 요청에 포함하여 보냅니다.
+3. Access Token이 만료되면 Refresh Token을 이용해 새로운 Access Token을 발급받습니다.
+4. Refresh Token까지 만료되면 재로그인이 필요합니다.
+
+### 장점
+- Access Token을 짧게 가져가므로 탈취당해도 보안에 취약한 시간을 줄일 수 있습니다.
+- 사용자는 자주 로그인할 필요가 없어 편리합니다.
+
+### 단점
+- 구현 복잡도가 올라갑니다.
+- Access Token의 유효기간이 매우 짧은 경우 서버 부하 증가가 예상되며 매 API 호출마다 accessToken을 이용한 인증 부하가 발생합니다.
+
+---
+
+## 4. OAuth 2.0 인증
+
+### 개념
+- 외부 서비스(Google, Facebook 등) 계정을 사용해 인증을 위임받는 프로토콜
+- 현재 표준은 **OAuth 2.0**입니다.
+
+### 주요 참여자
+- **Resource Owner**: 사용자
+- **Client**: 우리의 애플리케이션
+- **Authorization Server**: 인증/토큰 발급 서버
+- **Resource Server**: 보호된 자원을 가진 서버
+
+### 인증 흐름
+1. 사용자가 Client에 로그인 요청
+2. Client는 사용자를 Authorization Server(구글/페북 로그인 페이지 등)로 리디렉트
+3. 사용자가 로그인 후 **Authorization Code**를 Client로 전달
+4. Client는 Authorization Server에 Authorization Code를 전송해 **Access/Refresh Token** 발급
+5. Client는 Access Token으로 Resource Server에 요청
+6. 토큰 만료 시 Refresh Token으로 갱신
+
+### 장점
+- 소셜 로그인, 외부 계정 연동에 많이 활용되어 범용성이 높은 방법입니다.
+- 표준화된 방식으로 다양한 서비스에서 실제로 활용하는 인증 방법입니다.
+
+### 단점
+- 설정이 복잡(redirect URI, client ID/secret 필요)하여 초기 구현 비용이 높습니다.
+- 토큰 보관 및 만료 처리에 주의 필요합니다.
+
+---
+
+## 5. SNS 로그인 (Facebook, Google 등)
+
+### 인증 흐름
+1. 사용자가 서버에 로그인 요청
+2. 서버는 SNS 로그인 URL을 클라이언트로 전달
+3. 사용자가 해당 URL을 통해 로그인 → 인증 코드 반환
+4. 서버는 Authorization Server에 코드 검증 요청 후 Access/Refresh Token + 사용자 정보 발급
+5. 서버는 사용자 정보를 DB에 저장(신규면 회원가입, 기존이면 로그인)
+6. 이후 인증은 세션/쿠키 또는 JWT 방식으로 관리  

build.gradle

@@ -20,8 +20,10 @@ repositories {
 
 dependencies {
 	implementation 'org.springframework.boot:spring-boot-starter-web'
+	implementation 'org.springframework.boot:spring-boot-starter-security'
 	testImplementation 'org.springframework.boot:spring-boot-starter-test'
 	testRuntimeOnly 'org.junit.platform:junit-platform-launcher'
+	implementation "org.springframework.boot:spring-boot-starter-validation"
 
 	testImplementation "org.junit.jupiter:junit-jupiter:5.10.3"
 	testImplementation "org.mockito:mockito-junit-jupiter:5.12.0"
@@ -34,6 +36,11 @@ dependencies {
 
 	// swagger
 	implementation "org.springdoc:springdoc-openapi-starter-webmvc-ui:2.8.12"
+
+	// jwt
+	implementation 'io.jsonwebtoken:jjwt-api:0.12.5'
+	runtimeOnly  'io.jsonwebtoken:jjwt-impl:0.12.5'
+	runtimeOnly  'io.jsonwebtoken:jjwt-jackson:0.12.5'
 }
 
 tasks.named('test') {

img.png

@@ -6,43 +6,49 @@
 public enum ErrorCode {
 
     // 잘못된 서버 요청
-    BAD_REQUEST_ERROR(400, "G001", "Bad Request Exception"),
+    BAD_REQUEST_ERROR(400, "400", "Bad Request Exception"),
+
+    // @RequestBody 및 @RequestParam, @PathVariable 값이 유효하지 않음
+    NOT_VALID_ERROR(400, "400", "handle Validation Exception"),
 
     // @RequestBody 데이터 미 존재
-    REQUEST_BODY_MISSING_ERROR(400, "G002", "Required request body is missing"),
+    REQUEST_BODY_MISSING_ERROR(400, "400", "Required request body is missing"),
+
+    // 중복 닉네임 존재
+    DUPLICATE_NICKNAME_ERROR(400, "400", "Nickname already exist"),
 
     // 유효하지 않은 타입
-    INVALID_TYPE_VALUE(400, "G003", " Invalid Type Value"),
+    INVALID_TYPE_VALUE(400, "400", " Invalid Type Value"),
 
     // Request Parameter 로 데이터가 전달되지 않을 경우
-    MISSING_REQUEST_PARAMETER_ERROR(400, "G004", "Missing Servlet RequestParameter Exception"),
+    MISSING_REQUEST_PARAMETER_ERROR(400, "400", "Missing Servlet RequestParameter Exception"),
+
+    // Request Parameter가 Valid 하지 않은 경우
+    INVALID_PARAMETER_ERROR(400, "400", "Invalid RequestParameter Exception"),
 
     // 권한이 없음
-    FORBIDDEN_ERROR(403, "G008", "Forbidden Exception"),
+    FORBIDDEN_ERROR(403, "403", "Forbidden Exception"),
 
     // handler 존재 하지 않음
-    NOT_FOUND_ERROR(404, "G009", "Not Found Exception"),
+    NOT_FOUND_ERROR(404, "404", "Not Found Exception"),
 
     // 잘못된 경로로의 요청
-    NO_RESOURCE_FOUND_ERROR(404, "G009", "No Resource Found Exception"),
-
-    // @RequestBody 및 @RequestParam, @PathVariable 값이 유효하지 않음
-    NOT_VALID_ERROR(404, "G011", "handle Validation Exception"),
+    NO_RESOURCE_FOUND_ERROR(404, "404", "No Resource Found Exception"),
 
     // 서버가 처리 할 방법을 모르는 경우 발생
-    INTERNAL_SERVER_ERROR(500, "G999", "Internal Server Error Exception"),
+    INTERNAL_SERVER_ERROR(500, "500", "Internal Server Error Exception"),
 
     ;
 
     private final int statusCode;
 
-    private final String divisionCode;
+    private final String code;
 
     private final String message;
 
-    ErrorCode(final int statusCode, final String divisionCode, final String message) {
+    ErrorCode(final int statusCode, final String code, final String message) {
         this.statusCode = statusCode;
-        this.divisionCode = divisionCode;
+        this.code = code;
         this.message = message;
     }
 

img_1.png

@@ -6,13 +6,16 @@
 public enum SuccessCode {
 
     // 조회 성공
-     GET_SUCCESS(200, "200", "GET_SUCCESS"),
+    GET_SUCCESS(200, "200", "GET_SUCCESS"),
+
+    // 조회 성공
+    LOGIN_SUCCESS(200, "200", "LOGIN_SUCCESS"),
 
     // 삭제 성공
     DELETE_SUCCESS(200, "200", "DELETE_SUCCESS"),
 
     // 삽입 성공
-    INSERT_SUCCESS(201, "201", "DELETE_SUCCESS"),
+    INSERT_SUCCESS(201, "201", "INSERT_SUCCESS"),
 
     // 수정 성공
     UPDATE_SUCCESS(204, "204", "UPDATE_SUCCESS"),

src/main/java/com/ceos22/cgv/codes/ErrorCode.java

@@ -11,23 +11,43 @@
 import org.springframework.web.bind.MissingServletRequestParameterException;
 import org.springframework.web.bind.annotation.ControllerAdvice;
 import org.springframework.web.bind.annotation.ExceptionHandler;
-import org.springframework.web.servlet.NoHandlerFoundException;
 import org.springframework.web.servlet.resource.NoResourceFoundException;
 
+import java.net.BindException;
+
 @Slf4j
 @ControllerAdvice
 public class GlobalExceptionHandler {
 
-    private final HttpStatus HTTP_STATUS_OK = HttpStatus.OK;
-
     /**
      *  Parameter 값이 유효하지 않은 경우
      */
     @ExceptionHandler(MethodArgumentNotValidException.class)
-    protected ResponseEntity<ErrorResponse> handleMethodArgumentNotValidExceiption(MissingRequestHeaderException exception){
+    protected ResponseEntity<ErrorResponse> handleMethodArgumentNotValidExceiption(MethodArgumentNotValidException exception){
         log.error("handleMethodArgumentNotValidException", exception);
         final ErrorResponse response = ErrorResponse.of(ErrorCode.NOT_VALID_ERROR);
-        return new ResponseEntity<>(response, HTTP_STATUS_OK);
+        return new ResponseEntity<>(response, HttpStatus.BAD_REQUEST);
+    }
+
+    /**
+     * 이미 존재하는 nickname으로 회원가입을 시도하는 경우
+     */
+    // 지금 코드처럼 IllegalArgumentException을 던질 경우
+    @ExceptionHandler(IllegalArgumentException.class)
+    public ResponseEntity<ErrorResponse> handleIllegalArgument(IllegalArgumentException exception) {
+        log.error("handleIllegalArgumentException", exception);
+        final ErrorResponse response = ErrorResponse.of(ErrorCode.DUPLICATE_NICKNAME_ERROR);
+        return new ResponseEntity<>(response, HttpStatus.BAD_REQUEST);
+    }
+
+    /**
+     * parameter 매핑 과정에서의 오류가 있는 경우
+     */
+    @ExceptionHandler(org.springframework.validation.BindException.class)
+    public ResponseEntity<ErrorResponse> handleBindExceiption(BindException exception) {
+        log.error("handleBindExceiption", exception);
+        final ErrorResponse response = ErrorResponse.of(ErrorCode.NOT_VALID_ERROR);
+        return new ResponseEntity<>(response, HttpStatus.BAD_REQUEST);
     }
 
     /**
@@ -57,7 +77,7 @@ protected ResponseEntity<ErrorResponse> handleMissingRequestHeaderExceptionExcep
     protected ResponseEntity<ErrorResponse> handleNoResourceFoundException(NoResourceFoundException exception) {
         log.error("handleNoHandlerFoundExceptionException", exception);
         final ErrorResponse response = ErrorResponse.of(ErrorCode.NO_RESOURCE_FOUND_ERROR);
-        return new ResponseEntity<>(response, HTTP_STATUS_OK);
+        return new ResponseEntity<>(response, HttpStatus.BAD_REQUEST);
     }
 
 
@@ -68,7 +88,7 @@ protected ResponseEntity<ErrorResponse> handleNoResourceFoundException(NoResourc
     protected final ResponseEntity<ErrorResponse> handleAllExceptions(Exception exeption) {
         log.error("Exception", exeption);
         final ErrorResponse response = ErrorResponse.of(ErrorCode.INTERNAL_SERVER_ERROR);
-        return new ResponseEntity<>(response, HTTP_STATUS_OK);
+        return new ResponseEntity<>(response, HttpStatus.INTERNAL_SERVER_ERROR);
     }
 
 }

src/main/java/com/ceos22/cgv/codes/SuccessCode.java

@@ -0,0 +1,26 @@
+package com.ceos22.cgv.config.security;
+
+import org.springframework.stereotype.Component;
+
+@Component
+public class JwtAccessDeniedHandler implements org.springframework.security.web.access.AccessDeniedHandler {
+
+    private final com.fasterxml.jackson.databind.ObjectMapper objectMapper = new com.fasterxml.jackson.databind.ObjectMapper();
+
+    @Override
+    public void handle(
+            jakarta.servlet.http.HttpServletRequest request,
+            jakarta.servlet.http.HttpServletResponse response,
+            org.springframework.security.access.AccessDeniedException accessDeniedException) throws java.io.IOException {
+
+        response.setStatus(jakarta.servlet.http.HttpServletResponse.SC_FORBIDDEN);
+        response.setContentType("application/json;charset=UTF-8");
+
+        var body = java.util.Map.of(
+                "code", "403 FORBIDDEN",
+                "message", "접근 권한이 없습니다.",
+                "statusCode", 403
+        );
+        response.getWriter().write(objectMapper.writeValueAsString(body));
+    }
+}

src/main/java/com/ceos22/cgv/config/exception/GlobalExceptionHandler.java

@@ -0,0 +1,26 @@
+package com.ceos22.cgv.config.security;
+
+import org.springframework.stereotype.Component;
+
+@Component
+public class JwtAuthenticationEntryPoint implements org.springframework.security.web.AuthenticationEntryPoint {
+
+    private final com.fasterxml.jackson.databind.ObjectMapper objectMapper = new com.fasterxml.jackson.databind.ObjectMapper();
+
+    @Override
+    public void commence(
+            jakarta.servlet.http.HttpServletRequest request,
+            jakarta.servlet.http.HttpServletResponse response,
+            org.springframework.security.core.AuthenticationException authException) throws java.io.IOException {
+
+        response.setStatus(jakarta.servlet.http.HttpServletResponse.SC_UNAUTHORIZED);
+        response.setContentType("application/json;charset=UTF-8");
+
+        var body = java.util.Map.of(
+                "code", "401 UNAUTHORIZED",
+                "message", "유효한 토큰이 없습니다.",
+                "statusCode", 401
+        );
+        response.getWriter().write(objectMapper.writeValueAsString(body));
+    }
+}

src/main/java/com/ceos22/cgv/config/security/JwtAccessDeniedHandler.java

@@ -0,0 +1,38 @@
+package com.ceos22.cgv.config.security;
+
+import jakarta.servlet.FilterChain;
+import jakarta.servlet.ServletException;
+import jakarta.servlet.http.HttpServletRequest;
+import jakarta.servlet.http.HttpServletResponse;
+import org.springframework.security.core.context.SecurityContextHolder;
+import org.springframework.web.filter.OncePerRequestFilter;
+
+import java.io.IOException;
+
+public class JwtAuthenticationFilter extends OncePerRequestFilter {
+
+    private final TokenProvider tokenProvider;
+
+    public JwtAuthenticationFilter(final TokenProvider tokenProvider) {
+        this.tokenProvider = tokenProvider;
+    }
+
+    @Override
+    protected void doFilterInternal(
+            HttpServletRequest request, HttpServletResponse response, FilterChain filterChain
+    ) throws ServletException, IOException {
+
+        String token = tokenProvider.getAccessToken(request);
+        
+        // SecurityContextHolder 채우기
+        if (token != null && SecurityContextHolder.getContext().getAuthentication() == null) {
+            if(tokenProvider.validateAccessToken(token)) {
+                var authentication = tokenProvider.getAuthentication(token);
+                SecurityContextHolder.getContext().setAuthentication(authentication);
+            }
+        }
+
+        filterChain.doFilter(request, response);
+
+    }
+}