[Spring/Security] Firebase를 활용한 인증 구현

프로젝트 아키텍처

 

 

 

 프로젝트의 초기 버전에는 따로 백엔드 서버가 없었고, React Native에서 Firebase를 이용해 소셜 로그인을 진행하고 있었다. 나는 이후 프로젝트에 합류해 Spring으로 다른 서버를 개발하고 있다. 백엔드에서도 사용자를 식별하기 위해 Firebase로 발급된 토큰을 사용해 프론트엔드와 인증 체계를 통합할 필요가 있었다.

 

 구현을 위해 Firebase Token에 대해 이해하는 과정이 필요했고, 토큰을 다루기 위해 Spring Security도 학습해야 됐다. 그리고 최종적으로 firebase가 포함된 서버를 배포하기까지 많은 삽질을 하게 되었다. 구현하면서 공부했던 내용을 정리하고, 구현 과정을 공유하고자 한다!

 

 

 

 

 

Firebase Token?

---

 우선 Firebase Token에 대해 이해야하 한다. Firebase Authentication을 통해 로그인을 하면 발급되는 토큰으로 JWT(JSON Web Token) 형식이다. Firebase SDK에서 로그인과 세션 유지 뿐만 아니라, ID Token(Access Token)과 Refresh Token의 수명을 관리하고, 자동으로 갱신해주는 역할을 한다.

 

 클라이언트와 서버에서 사용자 인증을 위해 발급되고 사용되는 정보에는 UID, ID Token, Refresh Token이 있다.

 이 3개의 개념과 쓰임새를 명확히 알아야 한다. 혼동되기 쉽다.

 

 

 

UID

• Firebase Authentication에서 인증된 사용자에게 발급한 고유한 ID
• 백엔드에서 Firebase Admin SDK로 토큰 검증 및 UID 추출을 할 수 있다.

 

ID Token(Access Token)

• 1시간 동안 유효하므로 만료되면 새로 갱신해야 한다.
• 서버에 인증 요청을 보낼 때 사용된다.
• 백엔드에서 클라이언트로부터 요청 헤더로 전달받은 ID Token의 유효성을 검증할 수 있다.

 

Refresh Token

• ID Token이 만료되었을 때, Firebase에서 새로운 ID Token을 발급받는 데 사용된다.
• Firebase SDK가 자동으로 관리해준다.( = 개발자가 직접 Refresh Token 관리할 필요 없음)

 

 

 

 

 

인증 과정

---

 클라이언트와 소셜 로그인 제공자, Firebase 사이에서 이루어지는 소셜 로그인의 자세한 과정은 생략하고, 로그인 이후 클라이언트, Firebase, 서버와의 상호작용을 중심으로 설명하겠다. 다음과 같은 과정으로 인증 및 요청이 이루어 진다.

 

 

시퀀스 다이어그램

 

 

1. 클라이언트에서 소셜 로그인을 요청하면 Firebase는 소셜 로그인 제공자로부터 받은 토큰을 검증한다.

2. Firebase는 클라이언트에게 ID Token과 Refresh Token을 반환한다.

3. 클라이언트는 ID Token을 인증 헤더로 백엔드 서버에게 전달한다.

4. 백엔드는 Firebase Admin SDK를 사용해 해당 토큰을 검증한다.

5. Firebases는 검증에 성공하면 UID를 반환한다.

6. 서버는 UID를 사용하여 사용자를 식별하고 비즈니스 로직을 처리한다.

 

 

 

 

 

Spring Security

---

출처 : https://spring.io/projects

 

 

 서버로 들어오는 모든 요청을 Firebase 토큰으로 검증하고, 접근을 제어하는 시스템을 구축해야 한다. Spring에서 인증, 인가 기능을 개발하는 기능을 제공해주는 Spring Security를 사용하게 되었다.

 

 Spring Security는 Filter를 통해 요청이 Servlet에 도달하기 전에 Firebase 토큰을 검증하게 된다. 그리고 검증이 되면, SecurityContextHolder에 UID나 이메일 등의 정보가 포함된 인증 객체(Authentification)을 저장한다. 그래서 서버의 전역에서 사용자의 정보를 참조해 비즈니스 로직을 수행할 수 있게 된다.

 

 

 

 

 

구현

---

개발 환경

서버

• Spring Boot 3.2.4, Amazon corretto 17.0.10
• Firebase
• Spring Security
• Lombok

 

인프라

• GCP, Ubuntu
• Docker

 

 

 

 

 

1.  의존성 추가

build.gradle

implementation 'com.google.firebase:firebase-admin:9.2.0'
implementation 'org.springframework.boot:spring-boot-starter-security'

 

• Firebase Admin 사용을 위한 의존성을 추가해준다.
• Spring Security 사용을 위한 의존성도 추가해준다.

 

 

 

 

 

 2.  Firebase key 생성

 Firebase 프로젝트에서 들어가서 '프로젝트 설정' > '서비스 계정' > 'Firebase Admin SDK' > '새 비공개 키 생성' 을 클릭하면, json으로 된 key를 생성할 수 있다.

 

 

 

 

 

 

 3.  Firebase 설정 클래스 추가

@Configuration
public class FirebaseConfig {

    @Bean
    public FirebaseApp initializeFirebase() throws IOException {
        FirebaseOptions options = FirebaseOptions.builder()
                .setCredentials(GoogleCredentials.fromStream(new ClassPathResource("serviceAccountKey.json").getInputStream()))
                .build();

        if (FirebaseApp.getApps().isEmpty()) {
            return FirebaseApp.initializeApp(options);
        } else {
            return FirebaseApp.getInstance();
        }
    }
}

 

 

key의 파일 경로에 json 파일이 있는 경로를 넣어주면 된다.

 

개발하는 로컬 환경에서는 src/main/resources/serviceAccountKey.json였다. 하지만 클라우드에 docker를 이용하여 배포하면 에러가 날 것이다.

 

Failed to instantiate [com.google.firebase.FirebaseApp]: Factory method 'initializeFirebase' threw exception with message: src/main/resources/serviceAccountKey.json (No such file or directory)

 

배포 환경에서 에러를 해결하기 위해 다음과 같이 코드를 수정했다.

 

//AS-IS
FileInputStream serviceAccount = new FileInputStream("src/main/resources/serviceAccountKey.json");
FirebaseOptions options = FirebaseOptions.builder()
	.setCredentials(GoogleCredentials.fromStream(serviceAccount))
    .build();
    
//TO-BE
FirebaseOptions options = FirebaseOptions.builder()
	.setCredentials(GoogleCredentials.fromStream(new ClassPathResource("serviceAccountKey.json").getInputStream()))
	.build();

 

 

 

 

 

 4.  Firebase 인증 필터 클래스

 Firebase 인증 토큰을 처리하기 위한 Spring Security의 Custom Filter이다. Servlet으로 들어오는 요청을 가로채 인증 로직을 수행하게 된다. 

 

@Component
public class FirebaseAuthenticationFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        String authHeader = httpRequest.getHeader("Authorization");

        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String token = authHeader.replace("Bearer ", ""); // "Bearer " 이후의 토큰 값만 추출

            // Firebase Token을 검증하고 UID를 추출
			FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(token);
			String uid = decodedToken.getUid();

            // UID를 이용하여 사용자 인증 객체 생성
            User principal = new User(uid, "", Collections.emptyList());
            UsernamePasswordAuthenticationToken authentication =
                    new UsernamePasswordAuthenticationToken(principal, null, Collections.emptyList());

            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpRequest));

            // Spring Security의 SecurityContext에 설정
            SecurityContextHolder.getContext().setAuthentication(authentication);

        }

        // 다음 필터로 요청을 넘김
        filterChain.doFilter(servletRequest, servletResponse);
    }
}

 

 

1. doFilter 메소드는 필터가 실행될 때 호출된다.

2. 요청 해더에서 Firebase의 JWT를 가져온다. 클라이언트에서 Bearer [토큰] 형식으로 전달이 된다.

3. 토큰 값(ID Token)을 추출하고, Firebase Admin SDK로 토큰을 검증한다. 여기서 토큰이 유효하지 않거나 만료되었다면 예외가 발생한다.

4. 인증되었으면, UID를 추출한다.

5. UID를 사용자 id로 설정해 Spring Security의 Authentification 객체를 생성한다.

6. SecurityContext에 인증 정보를 저장한다.

6. 필터 체인에서 다음 필터로 요청을 넘기거나 컨트롤러로 전달한다.

 

 

 

 

 

 5.  Security 설정 클래스 추가

 Spring Security 설정 클래스에서 Firebase 인증 필터를 정의하고, 서버의 보안 규칙을 설정한다.

 

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final FirebaseAuthenticationFilter firebaseAuthenticationFilter;

    public SecurityConfig(FirebaseAuthenticationFilter firebaseAuthenticationFilter) {
        this.firebaseAuthenticationFilter = firebaseAuthenticationFilter;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http
                .csrf(csrf -> csrf.disable())  // CSRF 비활성화
                .authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/swagger", "/swagger-ui.html", "/swagger-ui/**", "/api-docs", "/api-docs/**", "/v3/api-docs/**")
                        .permitAll()
                        .requestMatchers("/test/**")
                        .permitAll()
                        .anyRequest().authenticated()  // 그 외 요청은 인증 필요
                )
                .sessionManagement(session -> session
                        .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션을 사용하지 않음
                )
                .addFilterBefore(firebaseAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)  // Firebase 인증 필터 추가
                .build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();  // 패스워드 인코더 설정
    }
}

 

 

authorizeHttpRequests

• 요청 URL에 대해 접근 제어를 설정할 수 있다. 특정 경로는 permitAll()을 통해 인증 없이 접근 가능하도록 할 수 있다.
• 만약 Swagger를 쓴다면, 관련된 경로들을 허용해줘야 한다. 안 해주면 Swagger에 접속할 수 없다.

 

세션 관리 정책

• Firebase를 사용하여 토큰 기반의 인증을 하므로, STATELESS로 설정한다.

 

Spring Security 필터 체인에 커스텀 필터(firebaseAuthenticationFilter)를 추가해주면 된다.