서버에서 OIDC(OpenID Connect)을 검증 과정 (구글 로그인)

검증 과정

 

---

실제 예제

auth0 java-jwt 라이브러리를 사용한 예제

implementation 'com.auth0:java-jwt:3.19.0'
implementation 'com.auth0:jwks-rsa:0.21.1'

// JwkProvider 객체를 싱글톤 객체로 구현해주세요.
// 성능 문제가 발생할 수 있으며, 요청이 차단될 가능성도 있습니다.
public static final JwkProvider jwkProvider = new JwkProviderBuilder(new URL("https://www.googleapis.com/oauth2/v3/certs"))
                    .cached(10, 7, TimeUnit.DAYS)
                    .build();

public Map<String, Claim> resolve(final String idToken) throws Exception{
// 1. JWT 디코딩
    DecodedJWT jwtOrigin = JWT.decode(idToken);

// 2. 공개키 추출
    Jwk jwk = jwkProvider.get(jwtOrigin.getKeyId());

// 3. 검증 및 디코딩
    Algorithm algorithm = Algorithm.RSA256((RSAPublicKey) jwk.getPublicKey(), null);
    JWTVerifier verifier = JWT.require(algorithm).build();
    DecodedJWT jwt = verifier.verify(idToken);
    return jwt.getClaims();
}

주의 사항

static URL urlForDomain(String domain) {
    Util.checkArgument(!Util.isNullOrEmpty(domain), "A domain is required");

    if (!domain.startsWith("http")) {
        domain = "https://" + domain;
    }

    try {
        final URI uri = new URI(domain + WELL_KNOWN_JWKS_PATH).normalize();
        return uri.toURL();
    } catch (MalformedURLException | URISyntaxException e) {
        throw new IllegalArgumentException("Invalid jwks uri", e);
    }
}

// UrlJwkProvider.class

JwkProviderBuilder 생성시 파라메터 타입으로 String 값을 넣으면

static final String WELL_KNOWN_JWKS_PATH = "/.well-known/jwks.json";

도메인 끝에 /.well-known/jwks.json 추가적인 Path를 붙이는 문제가 있기 때문에

추가적인 Path를 필요로 하지않는 Google jwks_url 의 경우 URL 객체를 파라메터로 넘겨야합니다.