# 08. Spring Security

## 08.1 spring security 적용하기



# Spring Security `HttpSecurity` 클래스 사용 가이드

* `HttpSecurity` 클래스는 Spring Security에서 보안 설정을 구성하는 데 사용되는 핵심 클래스입니다.
* `HttpSecurity` 클래스는 Spring Security에서 웹 보안 설정을 구성하는 데 사용됩니다. 이 클래스를 통해 CSRF 보호, 세션 관리, 인증 및 권한 부여, 로그인 및 로그아웃 설정 등을 구성할 수 있습니다. 아래는 `HttpSecurity` 클래스의 주요 메서드와 사용 방법, 설명, 예제를 포함한 가이드입니다.

---

## 1. `csrf()`

### 설명
- CSRF(Cross-Site Request Forgery) 보호를 구성합니다.
- 기본적으로 CSRF 보호는 활성화되어 있습니다.

### 사용 예
```java
.csrf(csrf -> csrf.disable()) // CSRF 보호 비활성화
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable()) // CSRF 보호 비활성화
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 2. `authorizeHttpRequests()`

### 설명
- HTTP 요청에 대한 인증 및 권한 부여를 구성합니다.

### 사용 예
```java
.authorizeHttpRequests(auth -> auth
    .requestMatchers("/public/**").permitAll()
    .anyRequest().authenticated()
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/public/**").permitAll() // "/public/**" 경로는 모든 사용자에게 허용
            .anyRequest().authenticated() // 그 외 모든 요청은 인증 필요
        )
        .build();
}
```

---

## 3. `formLogin()`

### 설명
- 폼 기반 로그인을 구성합니다.

### 사용 예
```java
.formLogin(login -> login
    .loginPage("/login") // 로그인 페이지 설정
    .defaultSuccessUrl("/home") // 로그인 성공 시 리디렉션할 URL
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .formLogin(login -> login
            .loginPage("/login") // 로그인 페이지 설정
            .defaultSuccessUrl("/home") // 로그인 성공 시 리디렉션할 URL
        )
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 4. `logout()`

### 설명
- 로그아웃을 구성합니다.

### 사용 예
```java
.logout(logout -> logout
    .logoutUrl("/logout") // 로그아웃 처리 URL
    .logoutSuccessUrl("/login") // 로그아웃 성공 시 리디렉션할 URL
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .logout(logout -> logout
            .logoutUrl("/logout") // 로그아웃 처리 URL
            .logoutSuccessUrl("/login") // 로그아웃 성공 시 리디렉션할 URL
        )
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 5. `sessionManagement()`

### 설명
- 세션 관리 설정을 구성합니다.

### 사용 예
```java
.sessionManagement(session -> session
    .sessionFixation().migrateSession() // 세션 고정 보호 활성화
    .maximumSessions(1) // 최대 동시 세션 수 설정
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .sessionManagement(session -> session
            .sessionFixation().migrateSession() // 세션 고정 보호 활성화
            .maximumSessions(1) // 최대 동시 세션 수 설정
        )
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 6. `exceptionHandling()`

### 설명
- 예외 처리를 구성합니다.

### 사용 예
```java
.exceptionHandling(exception -> exception
    .accessDeniedPage("/access-denied") // 접근 거부 시 리디렉션할 페이지
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .exceptionHandling(exception -> exception
            .accessDeniedPage("/access-denied") // 접근 거부 시 리디렉션할 페이지
        )
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 7. `headers()`

### 설명
- HTTP 헤더 보안 설정을 구성합니다.

### 사용 예
```java
.headers(headers -> headers
    .frameOptions().sameOrigin() // X-Frame-Options 헤더 설정
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .headers(headers -> headers
            .frameOptions().sameOrigin() // X-Frame-Options 헤더 설정
        )
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 8. `cors()`

### 설명
- CORS(Cross-Origin Resource Sharing) 설정을 구성합니다.

### 사용 예
```java
.cors(cors -> cors.configurationSource(corsConfigurationSource()))
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .cors(cors -> cors.configurationSource(corsConfigurationSource())) // CORS 설정
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}

@Bean
public CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOrigins(List.of("https://example.com"));
    configuration.setAllowedMethods(List.of("GET", "POST"));
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}
```

---

## 9. `rememberMe()`

### 설명
- "Remember-Me" 인증을 구성합니다.

### 사용 예
```java
.rememberMe(remember -> remember
    .key("uniqueAndSecret") // Remember-Me 키 설정
    .tokenValiditySeconds(86400) // 토큰 유효 기간 설정 (1일)
)
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .rememberMe(remember -> remember
            .key("uniqueAndSecret") // Remember-Me 키 설정
            .tokenValiditySeconds(86400) // 토큰 유효 기간 설정 (1일)
        )
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 10. `requestCache()`

### 설명
- 요청 캐시 설정을 구성합니다.

### 사용 예
```java
.requestCache(requestCache -> requestCache.disable()) // 요청 캐시 비활성화
```

### 예제 코드
```java
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
        .requestCache(requestCache -> requestCache.disable()) // 요청 캐시 비활성화
        .authorizeHttpRequests(auth -> auth
            .anyRequest().authenticated()
        )
        .build();
}
```

---

## 결론

`HttpSecurity` 클래스는 Spring Security에서 웹 보안 설정을 구성하는 데 매우 유연한 방법을 제공합니다. 위의 메서드들을 조합하여 CSRF 보호, 세션 관리, 인증 및 권한 부여, 로그인 및 로그아웃 설정 등을 세부적으로 구성할 수 있습니다. 필요에 따라 적절한 메서드를 사용하여 보안 설정을 구성하세요.

## HttpSecurity.formLogin()

`formLogin()` 메서드는 Spring Security에서 폼 기반 로그인을 구성하는 데 사용됩니다. 이 메서드를 사용하면 로그인 페이지, 로그인 처리 URL, 로그인 성공 및 실패 시의 동작 등을 커스터마이즈할 수 있습니다. 아래는 `formLogin()`에서 사용할 수 있는 주요 메서드들과 그 사용 방법에 대한 설명입니다.

### 1. `loginPage(String loginPage)`
- **설명**: 사용자 정의 로그인 페이지의 URL을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/custom-login"))
  ```
  이 설정은 `/custom-login` 경로를 로그인 페이지로 사용하도록 지정합니다.

### 2. `loginProcessingUrl(String loginProcessingUrl)`
- **설명**: 로그인 폼이 제출될 때 요청을 처리할 URL을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginProcessingUrl("/perform-login"))
  ```
  이 설정은 로그인 폼이 `/perform-login` URL로 제출될 때 Spring Security가 로그인을 처리하도록 지정합니다.

### 3. `defaultSuccessUrl(String defaultSuccessUrl)`
- **설명**: 로그인 성공 후 사용자를 리디렉션할 기본 URL을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.defaultSuccessUrl("/home"))
  ```
  이 설정은 로그인 성공 후 사용자를 `/home`으로 리디렉션합니다.

### 4. `successHandler(AuthenticationSuccessHandler successHandler)`
- **설명**: 로그인 성공 시 실행할 커스텀 `AuthenticationSuccessHandler`를 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.successHandler(new CustomAuthenticationSuccessHandler()))
  ```
  이 설정은 로그인 성공 시 `CustomAuthenticationSuccessHandler`를 실행합니다.

### 5. `failureUrl(String authenticationFailureUrl)`
- **설명**: 로그인 실패 시 사용자를 리디렉션할 URL을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.failureUrl("/login?error=true"))
  ```
  이 설정은 로그인 실패 시 사용자를 `/login?error=true`로 리디렉션합니다.

### 6. `failureHandler(AuthenticationFailureHandler authenticationFailureHandler)`
- **설명**: 로그인 실패 시 실행할 커스텀 `AuthenticationFailureHandler`를 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.failureHandler(new CustomAuthenticationFailureHandler()))
  ```
  이 설정은 로그인 실패 시 `CustomAuthenticationFailureHandler`를 실행합니다.

### 7. `usernameParameter(String usernameParameter)`
- **설명**: 로그인 폼에서 사용자 이름(아이디)에 해당하는 파라미터 이름을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.usernameParameter("user"))
  ```
  이 설정은 로그인 폼에서 사용자 이름 파라미터를 `user`로 설정합니다.

### 8. `passwordParameter(String passwordParameter)`
- **설명**: 로그인 폼에서 비밀번호에 해당하는 파라미터 이름을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.passwordParameter("pass"))
  ```
  이 설정은 로그인 폼에서 비밀번호 파라미터를 `pass`로 설정합니다.

### 9. `permitAll()`
- **설명**: 로그인 페이지와 로그인 처리 URL에 대한 접근을 모든 사용자에게 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.permitAll())
  ```
  이 설정은 로그인 페이지와 로그인 처리 URL에 대한 접근을 모든 사용자에게 허용합니다.

### 10. `disable()`
- **설명**: 폼 기반 로그인을 비활성화합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.disable())
  ```
  이 설정은 폼 기반 로그인을 비활성화합니다.

### 11. `withDefaultPasswordEncoder()`
- **설명**: 기본 패스워드 인코더를 사용하여 메모리 내 사용자를 설정합니다. (주의: 프로덕션 환경에서는 사용하지 않는 것이 좋습니다.)
- **사용 예**:
  ```java
  .formLogin(login -> login.withDefaultPasswordEncoder())
  ```

### 12. `authenticationDetailsSource(AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource)`
- **설명**: `AuthenticationDetailsSource`를 설정하여 로그인 시 추가적인 정보를 수집할 수 있습니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.authenticationDetailsSource(new CustomAuthenticationDetailsSource()))
  ```

### 13. `successForwardUrl(String forwardUrl)`
- **설명**: 로그인 성공 시 포워드할 URL을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.successForwardUrl("/success"))
  ```

### 14. `failureForwardUrl(String forwardUrl)`
- **설명**: 로그인 실패 시 포워드할 URL을 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.failureForwardUrl("/failure"))
  ```

### 15. `loginPage("/login").permitAll()`
- **설명**: 로그인 페이지를 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").permitAll())
  ```

### 16. `defaultSuccessUrl("/", true)`
- **설명**: 로그인 성공 후 항상 기본 URL로 리디렉션합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.defaultSuccessUrl("/", true))
  ```

### 17. `alwaysUseDefaultSuccessUrl(boolean alwaysUseDefaultSuccessUrl)`
- **설명**: 로그인 성공 후 항상 기본 성공 URL을 사용할지 여부를 설정합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.alwaysUseDefaultSuccessUrl(true))
  ```

### 18. `authenticationDetailsSource(AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource)`
- **설명**: `AuthenticationDetailsSource`를 설정하여 로그인 시 추가적인 정보를 수집할 수 있습니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.authenticationDetailsSource(new CustomAuthenticationDetailsSource()))
  ```

### 19. `loginProcessingUrl("/login").permitAll()`
- **설명**: 로그인 처리 URL을 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginProcessingUrl("/login").permitAll())
  ```

### 20. `loginPage("/login").failureUrl("/login?error").permitAll()`
- **설명**: 로그인 페이지와 실패 시 리디렉션할 URL을 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").failureUrl("/login?error").permitAll())
  ```

### 21. `loginPage("/login").defaultSuccessUrl("/home").permitAll()`
- **설명**: 로그인 페이지와 성공 시 리디렉션할 URL을 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").defaultSuccessUrl("/home").permitAll())
  ```

### 22. `loginPage("/login").failureHandler(new CustomAuthenticationFailureHandler()).permitAll()`
- **설명**: 로그인 페이지와 실패 시 커스텀 핸들러를 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").failureHandler(new CustomAuthenticationFailureHandler()).permitAll())
  ```

### 23. `loginPage("/login").successHandler(new CustomAuthenticationSuccessHandler()).permitAll()`
- **설명**: 로그인 페이지와 성공 시 커스텀 핸들러를 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").successHandler(new CustomAuthenticationSuccessHandler()).permitAll())
  ```

### 24. `loginPage("/login").usernameParameter("user").passwordParameter("pass").permitAll()`
- **설명**: 로그인 페이지와 사용자 이름 및 비밀번호 파라미터를 설정하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").usernameParameter("user").passwordParameter("pass").permitAll())
  ```

### 25. `loginPage("/login").defaultSuccessUrl("/home", true).permitAll()`
- **설명**: 로그인 페이지와 성공 시 항상 기본 URL로 리디렉션하고 모든 사용자에게 접근을 허용합니다.
- **사용 예**:
  ```java
  .formLogin(login -> login.loginPage("/login").defaultSuccessUrl("/home", true).permitAll())
  ```

이러한 메서드들을 조합하여 Spring Security의 폼 기반 로그인을 원하는 대로 커스터마이즈할 수 있습니다.

# Spring Security `UserDetailsService` 인터페이스 사용 가이드

`UserDetailsService`는 Spring Security에서 사용자 정보를 로드하는 데 사용되는 인터페이스입니다. 이 인터페이스를 구현하여 데이터베이스, LDAP, 메모리 등 다양한 소스에서 사용자 정보를 조회할 수 있습니다. 아래는 `UserDetailsService` 인터페이스의 메서드와 사용 방법, 설명, 예제를 포함한 가이드입니다.

---

## `UserDetailsService` 인터페이스 개요

`UserDetailsService` 인터페이스는 다음과 같이 정의됩니다:

```java
public interface UserDetailsService {
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
```

---

## 1. `loadUserByUsername(String username)`

### 설명
- 사용자 이름을 기반으로 사용자 정보를 조회합니다.
- 이 메서드는 `UserDetails` 객체를 반환해야 하며, 사용자가 존재하지 않을 경우 `UsernameNotFoundException`을 던져야 합니다.

### 반환 타입
- `UserDetails`: 사용자 정보를 담고 있는 객체입니다.

### 예외
- `UsernameNotFoundException`: 사용자가 존재하지 않을 경우 발생합니다.

---

## `UserDetails` 인터페이스

`UserDetails`는 사용자 정보를 나타내는 인터페이스로, 다음과 같은 메서드를 제공합니다:

1. **`getUsername()`**: 사용자 이름을 반환합니다.
2. **`getPassword()`**: 사용자 비밀번호를 반환합니다.
3. **`getAuthorities()`**: 사용자에게 부여된 권한 목록을 반환합니다.
4. **`isAccountNonExpired()`**: 사용자 계정이 만료되지 않았는지 여부를 반환합니다.
5. **`isAccountNonLocked()`**: 사용자 계정이 잠겨 있지 않은지 여부를 반환합니다.
6. **`isCredentialsNonExpired()`**: 사용자 자격 증명이 만료되지 않았는지 여부를 반환합니다.
7. **`isEnabled()`**: 사용자 계정이 활성화되었는지 여부를 반환합니다.

---

## `UserDetailsService` 구현 예제

### 1. 메모리 기반 사용자 정보 제공

#### 설명
- 메모리 내에서 사용자 정보를 관리하는 `InMemoryUserDetailsManager`를 사용합니다.

#### 예제 코드
```java
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@Configuration
public class SecurityConfig {

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();

        UserDetails admin = User.withDefaultPasswordEncoder()
            .username("admin")
            .password("admin")
            .roles("ADMIN")
            .build();

        return new InMemoryUserDetailsManager(user, admin);
    }
}
```

---

### 2. 데이터베이스 기반 사용자 정보 제공

#### 설명
- 데이터베이스에서 사용자 정보를 조회하는 `UserDetailsService`를 구현합니다.

#### 예제 코드
```java
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
            .orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));

        return org.springframework.security.core.userdetails.User.builder()
            .username(user.getUsername())
            .password(user.getPassword())
            .roles(user.getRoles().toArray(new String[0]))
            .build();
    }
}
```

---

### 3. 커스텀 `UserDetails` 구현

#### 설명
- `UserDetails` 인터페이스를 직접 구현하여 사용자 정보를 관리합니다.

#### 예제 코드
```java
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.Collections;

public class CustomUserDetails implements UserDetails {

    private String username;
    private String password;
    private Collection<? extends GrantedAuthority> authorities;

    public CustomUserDetails(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
```

---

### 4. 커스텀 `UserDetailsService` 구현

#### 설명
- `UserDetailsService`를 직접 구현하여 사용자 정보를 조회합니다.

#### 예제 코드
```java
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
            .orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));

        return new CustomUserDetails(
            user.getUsername(),
            user.getPassword(),
            Collections.singletonList(() -> "ROLE_USER") // 권한 설정
        );
    }
}
```

---

## 결론

`UserDetailsService` 인터페이스는 Spring Security에서 사용자 정보를 로드하는 데 필수적인 역할을 합니다. 이를 통해 데이터베이스, 메모리, LDAP 등 다양한 소스에서 사용자 정보를 조회할 수 있습니다. 필요에 따라 `UserDetails`를 커스터마이즈하거나 `UserDetailsService`를 직접 구현하여 애플리케이션의 보안 요구 사항을 충족시킬 수 있습니다.

# JWT scurity 생성

실무에서 JWT의 secret 키는 보안상 매우 중요합니다. 이 키는 JWT 토큰의 서명을 생성하고 검증하는 데 사용되므로, 충분히 복잡하고 예측하기 어려운 값이어야 합니다. 아래는 실무에서 사용할 수 있는 secret 키를 생성하는 방법과 예시를 제공합니다.

1. JWT Secret Key 생성 방법
a. 랜덤 문자열 사용
충분히 길고 복잡한 랜덤 문자열을 사용합니다.

예: openssl 명령어로 생성

```bash
openssl rand -base64 32
이 명령어는 32바이트 길이의 랜덤 문자열을 생성합니다.
```
b. UUID 사용
UUID(Universally Unique Identifier)를 사용할 수 있습니다.

예: Java에서 UUID 생성

```java
String secret = UUID.randomUUID().toString().replace("-", "");
```

c. 환경 변수 사용
secret 키를 소스 코드에 하드코딩하지 않고, 환경 변수로 관리합니다.

예: application.yml에서 환경 변수 참조

```yaml
jwt:
  secret: ${JWT_SECRET_KEY}
  expiration: 86400000
서버 환경에서 JWT_SECRET_KEY 환경 변수를 설정합니다.
```

2. 실무에서 사용할 수 있는 secret 키 예시
a. 랜덤 문자열 예시

```yaml
jwt:
  secret: "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0u1v2w3x4y5z6"
  expiration: 86400000
```

b. UUID 예시

```yaml
Copy
jwt:
  secret: "f47ac10b58cc4372a5670e02b2c3d479"
  expiration: 86400000
```

c. Base64로 인코딩된 랜덤 문자열 예시

```yaml
jwt:
  secret: "c2VjcmV0S2V5Rm9ySldUU2lnbmluZw=="
  expiration: 86400000
```

3. 보안을 위한 추가 권장 사항

* 키 길이:
  - 최소 32바이트(256비트) 이상의 길이를 사용합니다.
  - 예: openssl rand -base64 32로 생성된 키.

* 키 관리:
  - 소스 코드에 하드코딩하지 않고, 환경 변수나 보안 관리 도구(예: AWS Secrets Manager, HashiCorp Vault)를 사용합니다.
* 키 교체 주기:
  - 주기적으로 secret 키를 교체하여 보안을 강화합니다.
* 테스트와 프로덕션 분리:
  - 테스트 환경과 프로덕션 환경에서 다른 secret 키를 사용합니다.

4. 환경 변수를 사용한 예시
* application.yml

```yaml
jwt:
  secret: ${JWT_SECRET_KEY}
  expiration: 86400000
```

* 서버 환경 변수 설정
  - Linux/macOS:
```bash
export JWT_SECRET_KEY="your_secure_jwt_secret_key_here"
```

  - Windows:
```cmd
set JWT_SECRET_KEY="your_secure_jwt_secret_key_here"
```

5. Java 코드에서 환경 변수 사용

```java
@Value("${jwt.secret}")
private String secret;

@Value("${jwt.expiration}")
private long expiration;
```

6. 결론
실무에서는 다음과 같은 secret 키를 사용하는 것이 좋습니다:
랜덤 문자열: openssl rand -base64 32로 생성.
UUID: UUID.randomUUID().toString().replace("-", "")로 생성.

환경 변수: 소스 코드에 하드코딩하지 않고, 환경 변수로 관리.
예시:

```yaml
Copy
jwt:
  secret: "c2VjcmV0S2V5Rm9ySldUU2lnbmluZw=="
  expiration: 86400000
```