📧 이메일 주인 누구 ? - Two-Factor 확인사살 여정기

❓개요

Spring Security 를 이용하여 인증 및 인가를 구현하면서 놓치고 있던점이 있었다. 회원가입을 수행한 후 회원이 입력한 정보가 맞는지 여부를 검증하는 로직을 구현한적이 없었다. 다른 많은 애플리케이션을 이용하면 회원가입 후 이메일 인증을 수행하라고 하거나 페이스 아이디를 통해 한번 더 인증을 수행한다. 이것을 2FA(Two-Factor-Authentication) 이라고 한다. 이부분을 회원가입시 적용해 보려고 한다.

💡 2FA 에 대해

코드로 구현하기 전에 2FA 에 대해 개념 먼저 짚고 넘어가겠다. 2FA 는 인증 수행시 2가지 방법으로 인증을 수행하는 것을 말한다. 2가지 방식으로 인증을 수행하여 보안을 강화하는 방식으로 MFA(다중인증방식)이라고도 불린다.

대표적인 작동방식

1. 사용자가 아이디와 패스워드 입력
2. 첫번째 인증이 성공하면 두번째 인증 진행

• 인증 앱을 통한 일회용 코드(TOTP)
• SMS로 전송된 인증 코드
• Email로 전송된 인증 코드
• 보안키를 통한 물리 인증
• 생체 인식

이러한 다중 인증 방식은 단일 인증방식에 비해 해커가 두가지 인증 정보를 훔쳐야 하고, 두번째 요소는 지문이나 시간 제한 요소때문에 해킹하기어렵기에 보안성이 더 뛰어나고 무차별 대입공격과 피싱 공격에 대한 보안을 강화할 수 있다.

그렇다면 내가 구현을 할 부분은 클라이언트가 필요하지 않은 이메일 방식으로 2FA 를 구현해볼 생각이다. 회원가입 시에 적용시킬 것이다. 여러 다른 인증 및 인가를 고려할 수 있지만 프론트가없고 테스트해볼만한 디바이스가 없기에 회원가입시 이메일 인증으로라도 구현하려고한다.

🧑‍💻 코드로 구현하기

MailService

@Slf4j
@Service
@RequiredArgsConstructor
public class MailService {

    private final JavaMailSender javaMailSender;
    private final SpringTemplateEngine templateEngine;
    private final EncryptionUtil encryptionUtil;
    private static final String MAIL_SUBJECT = "인증 코드 안내";

    @Value("${spring.mail.username}")
    String host;

    public String sendMail(String to) throws MessagingException {
        MimeMessage message = javaMailSender.createMimeMessage();
        MimeMessageHelper mimeMessageHelper = new MimeMessageHelper(message, true, StandardCharsets.UTF_8.name());

        Context context = new Context();
        String code = generateVerificationCode(); // 인증 코드 생성 
        context.setVariable("code", code); // Email 인증 Form 에 넣을 Code 
        context.setVariable("email", encryptionUtil.encrypt(to)); // Email 인증 폼에 들어갈 암호화된 Email 

        String htmlContent = templateEngine.process("email/verification", context); // Email 인증폼 String 변환 

        mimeMessageHelper.setFrom(host); 
        mimeMessageHelper.setTo(to);
        mimeMessageHelper.setSubject(MAIL_SUBJECT);
        mimeMessageHelper.setText(htmlContent, true);

        javaMailSender.send(message); 

        return code;
    }

    private String generateVerificationCode() {
        Random random = new Random();
        StringBuilder code = new StringBuilder();
        IntStream.range(0, 6).forEach(e -> code.append(random.nextInt(10)));
        return code.toString();
    }

• 이메일을 전달하는 역할을 가진 객체이다.
• 이메일 전송 시 인증 코드와 Email 을 담아보낸다.
• Email 은 hidden 필드에 바인딩 시킬것이다.

UserService

@Slf4j
@Service
@RequiredArgsConstructor
public class UserService {
    private final UserRepository userRepository;
    private final PasswordEncoder passwordEncoder;
    private final MailService mailService;

    @Transactional
    public UserCreateRespDto register(UserCreateRepDto dto) {
        String encodedPassword = passwordEncoder.encode(dto.getPassword());

        boolean isExistsNickname = userRepository.existsByNickname(dto.getNickname());
        if (isExistsNickname) { // 닉네임 중복 검증 
            throw new BusinessException(ErrorCode.EXISTS_ALREADY_USER);
        }

        boolean isExistsEmail = userRepository.existsByEmail(dto.getEmail());
        if (isExistsEmail) { // 이메일 중복 검증 
            throw new BusinessException(ErrorCode.EXISTS_ALREADY_EMAIL);
        }

        User user = UserCreateRepDto.from(dto, encodedPassword);
        User savedUser = userRepository.save(user);

        try {
            mailService.sendMail(savedUser.getEmail()); // 이메일 전송 
        } catch (MessagingException e) {
            throw new BusinessException(ErrorCode.SERVER_ERROR);
        }

        return new UserCreateRespDto(savedUser);
    }
 }

• Domain-Service 인 UserService 에서 회원가입 시 이메일을 보낼 수 있도록 처리한다.
• 하지만 이메일을 보내도록 하는 로직이 여기있어도 되는가 살짝 의심스럽다.
• 거기다 try-catch 로 예외처리까지 해야하니 비즈니스로직을 읽는데 방해된다.
• 추후 개선해 보도록 하자!

Email 전송 여부 확인하기

• 이메일은 정상적으로 전송되는 것을 확인하였다.

🚨 문제점 발생

• 회원가입 요청을 날렸을때 API 속도가 5초 가까이 나오는것을 볼 수 있다.
• 회원가입시 많은 데이터를 요청하는것도 아니여서 Email 발송 로직이 문제란것을 알 수 있다.

그렇다면 어떤식으로 해결해야하는지 흐름을 이야기해보며 정리하고 구현하도록 해보자

1. 이메일 발송 로직을 회원가입 로직과 분리시켜야 한다.
2. 이메일 발송은 동기적으로 동작하지 않아도 괜찮다.
3. 이메일 발송은 이벤트 형식으로 처리해보자.
4. 이메일 발송은 회원가입하려고 하는 유저 데이터가 DB에 저장되고 발송되어야 한다.
5. 이메일 발송이 실패하였을때 재시도 로직을 추가해보는것도 고려할 수 있다.

EventListener

@Slf4j
@Component
@RequiredArgsConstructor
public class UserRegisterEventListener {

    private final MailService mailService;
    private final RedisTemplate<String, String> redisTemplate;
    private static final long VERIFICATION_CODE_EXPIRATION = 10 * 60;

    @Async
    @Transactional(propagation = Propagation.REQUIRES_NEW)
    @TransactionalEventListener(phase = TransactionPhase.AFTER_COMMIT)
    public void handleUserRegistration(UserRegisterEvent event) {
        try {
            String code = mailService.sendMail(event.email());
            ValueOperations<String, String> ops = redisTemplate.opsForValue();
            ops.set(event.email(), code, Duration.ofSeconds(VERIFICATION_CODE_EXPIRATION));
        } catch (MessagingException e) {
            log.warn("Mail 전송 실패 : {}", e.getMessage());
        }
    }
}

• 이벤트가 발행되면 해당 이벤트를 처리하는 로직을 구현한다.
• 비동기로 동작하며 트랙잭션을 분리한다.
• 회원가입 로직이 커밋된다면 메일 발송 로직이 동작한다.
• 추후 인증 코드를 검증해야하기에 레디스에 값을 저장해둔다.

UserService

@Transactional
public UserCreateRespDto register(UserCreateRepDto dto) {
		String encodedPassword = passwordEncoder.encode(dto.getPassword());

		boolean isExistsNickname = userRepository.existsByNickname(dto.getNickname());
		if (isExistsNickname) {
				throw new BusinessException(ErrorCode.EXISTS_ALREADY_USER);
		}

		boolean isExistsEmail = userRepository.existsByEmail(dto.getEmail());
		if (isExistsEmail) {
				throw new BusinessException(ErrorCode.EXISTS_ALREADY_EMAIL);
		}

		User user = UserCreateRepDto.from(dto, encodedPassword);
		User savedUser = userRepository.save(user);
		
		// 이벤트 발행 
		applicationEventPublisher.publishEvent(new UserRegisterEvent(dto.getEmail()));

		return new UserCreateRespDto(savedUser);
}

• ApplicationEventPublisher 를 통해 이벤트를 발행한다.

API 호출 결과

• 200ms 대로 확실히 성능이 개선되었다.
• 만약 회원가입 트래픽이 늘어나면 큐를 이용해 이벤트를 처리하는 방안도 있을것 같다.

✅ 이메일 유효성 검증

AuthService

@Transactional
public void verificationEmail(String email, String code) {
		ValueOperations<String, String> ops = redisTemplate.opsForValue();
		String decryptedEmail = encryptionUtil.decrypt(email);
		String storedCode = ops.get(decryptedEmail);
		if (!storedCode.equals(code)) {
				throw new BusinessException(ErrorCode.INVALID_EMAIL_CODE);
		}
		redisTemplate.delete(decryptedEmail);

		User findUser = userRepository.findByEmail(decryptedEmail)
                .orElseThrow(() -> new BusinessException(ErrorCode.USER_NOT_FOUND));
		findUser.addAuthorizationRole();
		userRepository.save(findUser);
}

• 암호화화된 이메일과 코드를 검증하는 코드이다.
• Redis 에 저장되있는 인증코드를 꺼내와 검증하고 Redis 에 값을 지운다.
• 복호화한 이메일을 통해 DB 에 유저 데이터를 찾고 권한을 추가한 후 저장한다.

Result

AuthService 에서 권한추가하였다면 권한을 검증하것은 필터에게 위임하도록한다. JWT 토큰에도 권한을 추가하도록 해야 필터단에서 검증할 수 있다. JWT 토큰 검증 문제는 작은 문제기에 여기서 다루진 않겠다.

📖 톺아보기

회원가입 시 이메일 유효성 검증을 수행하도록 하는 2FA 를 구현해보았다. 클라이언트가 있었다면 좀더 다른 인증 방식을 고려해볼 수 있겠는데 클라이언트가 없기에 구현조건이 까다로운점이 아쉽다. 추후 인증 및 인가를 학습을 하여 SSO 구축도 다뤄볼 예정이다. 이메일 인증을 구현하면서 여러 키워드들을 얻고 갔으므로 가치있는 학습이었다. 이벤트 발행에 대해서도 좋은 공부가 될것같아 추후 공부해봐야겠다.