💡 오늘의 목표를 세분화하여 계획하고, 각 세션 별 진행상황을 관리하세요

토큰관리

AccessToken

RefreshToken

• Redis DB 설정
• AccessToken 코드 설정
• RefreshToken 코드 설정

2024년 1월 4일 오전 10:01

---

토큰관리

토큰관리에 대해서 깊게 고민하다가

지금까지 인증 및 인가를 구현할 때 Access token만 사용했었는데 Access token의 한계를 느껴서 Refresh token을 적용해보려고 한다.

Redis DB에 넣어서 관리하면 어떨까 생각했다.

1. 토큰이 만료될 때마다 다시 로그인을 해야 한다.

• access token을 발급할 때 유효 기간을 정해서 발급을 하게 되는데 이 유효 기간이 지날 때마다 다시 로그인을 해야 한다.
• 그런데 이 유효 기간이 만약 사용자가 서비스를 사용 중일 때 만료가 된다면 사용자 입장에서는 매우 불편할 것이다.
• 예를 들어 메모 서비스를 이용한다고 했을 때 열심히 메모를 작성하던 중에 토큰이 만료된다면 메모를 등록하는 시점에 재로그인을 해야 할테고 주기적으로 메모를 저장하는 로직을 따로 구현하지 않았다면 해당 정보를 다시 입력해야 할 것이다.
• 사용자의 이러한 불편함을 없애야 한다.
• 이를 해결하기 위한 간단한 방법으로는 access token의 유효 기간을 늘리는 것이다.
• 하지만 이는 다음과 같은 위험이 존재한다.

2. 토큰의 유효 기간이 길다면 탈취당했을 때 위험하다.

토큰의 유효 기간을 길게 설정한다면 해당 토큰을 누군가에게 탈취당했을 때 긴 기간 동안 사용자인 척 요청을 할 수 있게 된다.

그래서 access token의 유효 기간을 짧게 해서 탈취당했을 때 위험을 줄여야 한다.

그런데 access token의 유효 기간을 짧게 한다면 1번 문제가 다시 발생한다.

결국 access token 하나만으로는 이러한 문제를 모두 해결하기가 어렵다.

이 때 refresh token을 도입한다면 이러한 문제를 해결할 수 있다.

**RedisConnection, RedisConnectionFactory**

이러한 RedisConnection은 RedisConnectionFactory를 통해 생성되고 이 RedisConnectionFactory가 PersistenceExceptionTranslator 역할을 수행한다.

인증 순서

1. 유저가 토큰 요청을 하면 서버에서 access token과 refresh token을 발급해준다.
2. 유저는 access token과 refresh token을 안전한 저장소에 보관해둔다.
3. 유저는 인증이 필요한 작업을 할 때 access token을 서버에게 보낸다.
4. 서버는 access token의 유효성을 검증한 뒤 유효하다면 작업을 허용한다.
5. access token이 만료되었다면 서버는 access token이 만료되었다는 응답을 내려준다.
6. 유저는 refresh token을 서버에게 보낸다.
7. refresh token이 유효하다면 새로운 access token을 발급해주고 유저는 이 access token으로 다시 작업을 요청한다.
8. refresh token이 유효하지 않다면 다시 로그인을 하도록 응답을 내려준다.

단, RefreshToken이 탈취당한다면 무제한 AccessToken이 발급된다.
하고 추가로 데이터베이스에 저장된 refresh token과 동일한지 확인한다.

즉, access token을 재발급 할 때 refresh token도 재발급 하는 것이다.

• token rotation을 적용했기 때문에 refresh token의 유효 기간이 길더라도 값이 계속 갱신되기 때문에 긴 유효 기간의 문제점을 해결할 수 있다.

인증순서

1. 유저가 로그인을 하면 서버에서 access token과 refresh token을 발급하고 refresh token을 데이터베이스에 저장해둔다.
2. 유저는 access token과 refresh token을 안전한 저장소에 보관해둔다.
3. 유저는 인증이 필요한 작업을 할 때 access token을 서버에게 보낸다.
4. 서버는 access token의 유효성을 검증한 뒤 유효하다면 작업을 허용한다.
5. access token이 만료되었다면 서버는 access token이 만료되었다는 응답을 내려준다.
6. 유저는 refresh token을 서버에게 보낸다.
7. refresh token의 유효성을 검증하고 데이터베이스에 저장된 refresh token과 동일한지 확인한다.
8. 유효하고 동일하다면 access token을 발급해준다.
9. 유효하지 않거나 동일하지 않다면 refresh token을 삭제하고 다시 로그인을 하도록 응답을 내려준다.

Redis

https://bcp0109.tistory.com/328

SpringBoot

기존 진행 중인 프로젝트에 적용한다면 build.gradle에 다음과 같이 의존성을 추가해준다.

build.gradle{
	implementation 'org.springframework.boot:spring-boot-starter-data-redis'
}

application.yml , application.propertice 적용

spring.redis.host=localhost
spring.redis.port=6379

redis java client는 lettuce와 jedis가 있는데 lettuce는 별다른 설정 없이 바로 사용할 수 있어서 lettuce로 진행해보려고 한다.

LettuceConnectionFactory를 빈으로 등록하는 코드는 다음과 같다.

@Configuration
class RedisConfig {
  @Bean
  public RedisConnectionFactory redisConnectionFactory() {

    return new LettuceConnectionFactory(
    	new RedisStandaloneConfiguration("호스트", 6379)
    );
  }
}

RedisStandaloneConfiguration의 첫 번째 인자엔 호스트, 두 번째 인자엔 포트 번호를 넣어주면 된다.
LettuceConnectionFactory로부터 생성된 Lettuce는 동일한 thread-safe connection을 공유한다.

RedisTemplate

RedisConnection의 경우 binary valuef를 주고 받는데 RedisTemplate의 경우 높은 수준의 추상화와 직렬화를 제공해주기 때문에 사용하기가 편하다.

RedisTemplate은 다양한 타입에 대해 다양한 연산을 제공해준다.

특정 키 값에 대해 value를 string, list, set ... 등등 많은 연산을 제공해준다.

key bound를 통해 다양한 타입의 key도 정의할 수 있다.

RedisConnectionFactory에 이어 RedisTemplate도 빈으로 등록해보자.

@Configuration
public class RedisConfiguration {
    @Value("${spring.redis.host}")
    private String redisHost;
    @Value("${spring.redis.port}")
    private int redisPort;

    @Bean
    public RedisConnectionFactory redisConnectionFactory() {
        return new LettuceConnectionFactory(redisHost, redisPort);
    }
    @Bean
    public RedisTemplate<String, String> redisTemplate() {
        RedisTemplate<String, String> redisTemplate = new RedisTemplate<>();
        redisTemplate.setConnectionFactory(redisConnectionFactory());
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        redisTemplate.setValueSerializer(new StringRedisSerializer());
        return redisTemplate;
    }
}