[에러모음] com.auth0.jwt.exceptions.AlgorithmMismatchException: The provided Algorithm doesn't match the one defined in the JWT's Header

에러 설명

자바 프로젝트에서 로그인을 구현하기 위해 시큐리티 필터를 통해 JWT 토큰을 생성하고 확인하는 과정에서 생긴 에러

에러 메세지

 

JwtAuthenticationFilter.java

@RequiredArgsConstructor
public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
	private final AuthenticationManager authenticationManager;
	
	// /login 요청을 하면 사용자 정보를 인증하기 위해 실행되는 함수
	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
		...코드 생략...
	}
	
	// attemptAuthentication()에서 인증이 끝나면 실행되는 함수
	@Override
	protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authResult) throws IOException, ServletException {
		
		PrincipalDetails principalDetails = (PrincipalDetails) authResult.getPrincipal();
		
		String jwtToken = JWT.create()
        				.withSubject(principalDetails.getUsername())
                    			.withExpiresAt(new Date(System.currentTimeMillis() + (JwtProperties.EXPIRATION_TIME)))
                            		.withClaim("id", principalDetails.getUser().getId())
                            		.withClaim("username", principalDetails.getUser().getUsername())
                            		.sign(Algorithm.HMAC256(JwtProperties.SECRET));
		
		response.addHeader(JwtProperties.HEADER_STRING, JwtProperties.TOKEN_PREFIX + jwtToken);
	}
}

 

JwtAuthorizationFilter.java

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {
	
	private UserRepository userRepository;
	
	public JwtAuthorizationFilter(AuthenticationManager authenticationManager, UserRepository userRepository) {
		super(authenticationManager);
		this.userRepository = userRepository;
	}
	
	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		
		String jwtHeader = request.getHeader(JwtProperties.HEADER_STRING);
		
		if(jwtHeader == null || !jwtHeader.startsWith(JwtProperties.TOKEN_PREFIX)) {
			chain.doFilter(request, response);
			return;
		}
		
		String jwtToken = request.getHeader(JwtProperties.HEADER_STRING)
								 .replace(JwtProperties.TOKEN_PREFIX, "");
		
		// 에러가 발생하는 시점
		String username = JWT.require(Algorithm.HMAC512(JwtProperties.SECRET))
				   .build()
				   .verify(jwtToken)
				   .getClaim("username").asString();
		
		...코드 생략...
	}
}

 

 

해결

결론은 매우 간단했다.

 

JWT 토큰을 처음 생성하고(JwtAuthenticationFilter.java) 검증하는(JwtAuthorizationFilter.java) 두 과정에서 JWT 토큰 서명에 접근할 때 같은 알고리즘을 이용해야 하는 것이었다. 

 

위에 JwtAuthenticationFilter.java 코드를 보면 Algorithm.HMAC512를 이용해야 하는데 실수로 다른 알고리즘(Algorithm.HMAC256)을 불러와 토큰 서명한 것을 확인할 수 있다. 그래서 서명은 HMAC256으로 되어 있는데 토큰 검증 과정에서는 HMAC512로 확인하니까 잘못된 알고리즘을 썼다는 에러가 나는 것이었다.

 

끝. :)