jsonwebtoken 버전 0.10.0+ 에서 로그인 TokenProvider에러

[fsoftwareengineer]

jsonwebtoken 버전이 0.10.0인 경우 로그인시 아래와 같은 런타임 에러가 나는 것을 확인 할 수 있습니다.

2022-01-03 22:25:22.397 ERROR 8223 --- [nio-8080-exec-3] o.a.c.c.C.[.[.[/].[dispatcherServlet]    : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed; nested exception is io.jsonwebtoken.security.WeakKeyException: The signing key's size is 320 bits which is not secure enough for the HS512 algorithm.  The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS512 MUST have a size >= 512 bits (the key size must be greater than or equal to the hash output size).  Consider using the io.jsonwebtoken.security.Keys class's 'secretKeyFor(SignatureAlgorithm.HS512)' method to create a key guaranteed to be secure enough for HS512.  See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.] with root cause

io.jsonwebtoken.security.WeakKeyException: The signing key's size is 320 bits which is not secure enough for the HS512 algorithm.  The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS512 MUST have a size >= 512 bits (the key size must be greater than or equal to the hash output size).  Consider using the io.jsonwebtoken.security.Keys class's 'secretKeyFor(SignatureAlgorithm.HS512)' method to create a key guaranteed to be secure enough for HS512.  See https://tools.ietf.org/html/rfc7518#section-3.2 for more information.
        at io.jsonwebtoken.SignatureAlgorithm.assertValid(SignatureAlgorithm.java:387) ~[jjwt-api-0.11.2.jar:0.11.2]
        at io.jsonwebtoken.SignatureAlgorithm.assertValidSigningKey(SignatureAlgorithm.java:315) ~[jjwt-api-0.11.2.jar:0.11.2]
        at io.jsonwebtoken.impl.DefaultJwtBuilder.signWith(DefaultJwtBuilder.java:122) ~[jjwt-impl-0.11.2.jar:0.11.2]
        at com.example.demo.security.TokenProvider.create(TokenProvider.java:48) ~[main/:na]

이는 SECRET_KEY의 길이가 너무 짧아 그런 것 이므로 SECRET_KEY의 길이를 대략 40자 정도로 늘려 주시기 바랍니다.
예

private static final String SECRET_KEY = "Q4NSl604sgyHJj1qwEkR3ycUeR4uUAt7WJraD7EN3O9DVM4yyYuHxMEbSF4XXyYJkal13eqgB0F7Bq4H";

마찬가지로 jsonwebtoken의 버전이 높을 시 Jwts.builder()의 .signWith이 deprecate된 것을 확인 할 수 있습니다. .signWith의 인자로 (SignatureAlgorithm, String) 대신 (Key, SignatureAlgorithm) 또는 (Key)를 넘겨주는 방법을 사용해야 합니다. 이를 위해 아래와 같이 기존의 SECRET_KEY를 이용해 Key를 생성하고 생성한 Key를 signWith에 대체 해 넘겨 주시기 바랍니다.

TokenProvider.java의 create메서드

byte[] keyBytes = SECRET_KEY.getBytes();
Key key = Keys.hmacShaKeyFor(keyBytes);

return Jwts.builder()
	// header에 들어갈 내용 및 서명을 하기 위한 SECRET_KEY
	.signWith(key, SignatureAlgorithm.HS512)
	// payload에 들어갈 내용
	.setSubject(userEntity.getId()) // sub
	.setIssuer("demo app") // iss
	.setIssuedAt(new Date()) // iat
	.setExpiration(expiryDate) // exp
	.compact();