[보안] jwt.secret 관리(.gitignore 설정, SpringBoot+intelliJ)

평화롭던 어느날.... 메일이 날라왔다...

심장이 쿵 했다. api key나 jwtToken을 github에 올리면 안되는 점을 알고는 있었지만, 신경쓸 겨를이 없었다. 사실은 귀찮아서 따로 빼지 않았던 거일 수도.....

로컬에서 작업한거라서 별로 문제 될 일은 없었지만 그래도 저 무서운 메일 제목을 보고 있자니... 당장 해결해야겠다 싶었다.

JWT에 대한 내용은 추후에 작성하겠다.

---

JWT secret key

JWT token을 서명하고 검증하는 데 사용되는 비밀 키를 의미한다.

JWT란 공개 키와 비밀 키를 쌍으로 사용하여 토큰에 서명한다. 
브라우저가 유저를 인증하기 위해 사용하는 방식 중 하나이다. 

 

즉, 비밀 키이기 때문에 외부에 유출되면 안된다. 초보 개발자들이 간과하는 부분 중 하나인데, 무지성으로 git push를 날리다 보면 어느 순간 유출되있다... 이를 방지하기 위해서는 정신을 단디 차리고 이와 같은 secret key들은 따로 빼서 .gitignore에 추가해주자.

 

나는 spring boot 개발하다가 알람이 왔으니 spring boot + intelliJ 환경에서를 예시로 설명하겠다.

 

SpringBoot + intelliJ 에서 비밀 키 관리하기

1. application.properties에서 비밀 키 복사

먼저, application.properties에 아래와 같이 여러분의 비밀 키가 등록되있을 것이다. 

이 키를 복사 해두고, 여기서는 삭제하자.

...

//비밀 키
jwt.secret=secretsecretsecretsecretsecretsecretsecretsecretsecret
jwt.expiration-ms=86400000

...

 

2. application-secret.properties에 복사

보안 이슈가 있는 값들만 저장해 놓을 application-secret.properties 를 따로 만들어서 비밀 키를 복사해준다.

//비밀 키
jwt.secret=secretsecretsecretsecretsecretsecretsecretsecretsecret

 

3. .gitignore에 application-secret.properties 추가

application-secret.properties의 경로가 .gitignore와 같으면 파일명만 추가한다.

...
application-secret.properties

 

다른 경로에 있다면 경로까지 포함해준다. 아래는 내 예시이다.

...
src/main/resources/application-secret.properties

 

굿! 이제 push 를 하나 날려보면! 비밀 키가 안전하게 분리 된 것을 볼 수 있다.

 

4. 코드에 적용 확인

마지막으로 정의한 jwt.secret 이 실제 코드에서 잘 사용되고 있는지 다시 확인하자.

@Value의 설정 값을 plain secret key를 적어놓으면 말짱 도루묵이다.

   ...
    @Value("${jwt.secret}")
    private String secretKey;
   ...

+ GitGuardians

위에서 언급한 나에게 메일 경고를 쏴주었던 데가 바로 GitGuardians다. 

내 git repository의 보안을 위해서 미리미리 가입해주면 좋을 것 같다.

 

아래와 같이 내 리포지토리 중 보안 정보가 유출되있는 리포지토리를 보여준다.

 

그리고 해당 소스에 들어가면, 어느 commit, 어느 코드에서 정보 유출이 언제 일어났는지 아주 친절하게 알려준다!