📌 [JWT 인증 시스템 시리즈 - 5편] 토큰 재발급과 로그아웃 처리 흐름

📅 날짜

2025-05-20

---

📝 학습 내용

1️⃣ JWT 인증 전체 흐름 요약

단계	설명
로그인 성공	AT, RT 발급 → AT: 클라이언트 쿠키 / RT: 서버(DB) 저장
인증 요청	쿠키의 AccessToken → JwtAuthorizationFilter에서 검증
AT 만료	RT 유효 시 새로운 AT 재발급 (쿠키+DB 갱신)
RT 만료	쿠키 삭제 + DB 삭제 + 재로그인 필요
로그아웃	쿠키 삭제 + DB에서 AT 삭제 + 소셜 로그아웃 지원

---

2️⃣ CustomLoginSuccessHandler – 로그인 처리 전체 시나리오

@Slf4j
@Component
public class CustomLoginSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Autowired
    private JwtTokenRepository jwtTokenRepository;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        TokenInfo tokenInfo = jwtTokenProvider.generateToken(authentication);

        // AccessToken → 쿠키
        Cookie cookie = new Cookie(JwtProperties.ACCESS_TOKEN_COOKIE_NAME, tokenInfo.getAccessToken());
        cookie.setMaxAge(JwtProperties.REFRESH_TOKEN_EXPIRATION_TIME);
        cookie.setPath("/");
        response.addCookie(cookie);

        // RT, AT 저장
        JwtToken jwtToken = JwtToken.builder()
                .accessToken(tokenInfo.getAccessToken())
                .refreshToken(tokenInfo.getRefreshToken())
                .username(authentication.getName())
                .createAt(LocalDateTime.now())
                .build();
        jwtTokenRepository.save(jwtToken);

        // 로그인 흐름 
        /*
            [최초 로그인] (Client: AT ❌, DB ❌)
            - AT 전송, DB 저장

            [기존 로그인] (Client: AT ✅, DB ✅)
            - AT 유효 → 로그인 완료
            - AT 만료 & RT 없음 → 재로그인
            - AT 만료 & RT 유효 → AT 재발급
            - AT 만료 & RT 만료 → AT, RT 재발급

            [예외 상황]
            - Client: AT ✅, DB ❌ → 비정상
            - Client: AT ❌, DB ✅ → 쿠키 삭제됨
         */
        response.sendRedirect(request.getContextPath() + "/");
    }
}

---

3️⃣ AccessToken 만료 → RefreshToken 재발급 (JwtAuthorizationFilter)

if (jwtTokenProvider.validateToken(refreshToken)) {
    // AT 재발급
    String newAccessToken = ...
    response.addCookie(new Cookie(..., newAccessToken));
    jwtToken.setAccessToken(newAccessToken);
    jwtTokenRepository.save(jwtToken);
} else {
    // RT도 만료됨 → 쿠키 제거 + DB 삭제
}

🔁 AT 재발급 흐름 도식:

[요청] → [AT 만료 확인]
         ↓
     [RT 존재?] → ❌ 재로그인
         ↓
    [RT 유효?] → ❌ 재로그인
         ↓
  ✅ → 새 AT 발급 → 쿠키 갱신 + DB 업데이트

---

4️⃣ 로그아웃 처리 (CustomLogoutSuccessHandler)

단계	설명
1️⃣ AccessToken 쿠키에서 추출
2️⃣ 해당 AT DB에서 삭제 (deleteByAccessToken)
3️⃣ 클라이언트 쿠키 삭제 (MaxAge=0)
4️⃣ 소셜 로그인 분기 처리 (Kakao, Naver, Google)
5️⃣ 일반 사용자 메인 페이지로 이동

---

🔐 보안 팁 – 쿠키 설정

설정 항목	설명
HttpOnly	JavaScript 접근 차단 (XSS 방지)
Secure	HTTPS에서만 전송
SameSite=Lax	CSRF 방어 (혹은 Strict)
Path="/"	루트 전체에서 쿠키 적용

cookie.setHttpOnly(true);
cookie.setSecure(true);
cookie.setPath("/");

---

🧪 테스트 팁

• Postman에서 AT 없이 요청 → 401 응답 확인
• 브라우저 개발자 도구 > Application > Cookie 탭에서 자동 갱신 여부 확인
• 로그아웃 후 쿠키 및 DB 삭제 여부 콘솔 확인

---

🧩 예외 상황 요약

상황	설명	처리
AT ❌ / RT ❌	최초 로그인	AT 발급 + 저장
AT ✅ / RT ✅	정상 흐름	로그인 완료
AT ❌ / RT ✅	쿠키 삭제됨	AT 재발급
AT ✅ / RT ❌	예외 흐름	비정상 토큰 (로그아웃 권장)
AT, RT 모두 만료	세션 종료	쿠키/DB 제거, 재로그인 유도

---

✅ 이 글에서 배운 것

• ✅ JWT 기반 인증에서 토큰 재발급과 로그아웃 흐름을 완성
• ✅ RefreshToken 저장으로 재로그인 최소화, 보안 제어 가능
• ✅ 예외 상황을 정리함으로써 실무 대응 설계 능력 향상

---

🧠 느낀 점

• 전체 인증 흐름을 직접 설계하며 실무 수준의 이해도가 확실히 올라갔다.
• JWT 인증은 단순 발급이 아닌 상태 관리, 만료 대응, 예외 처리까지 설계가 생명임을 체감했다.
• 다음으로는 Redis 기반 RefreshToken 저장과 /refresh API를 RestController로 분리해보고 싶다.

---

✅ 요약

• JWT 인증 시스템을 구성할 때 반드시 토큰 발급 → 인증 → 재발급 → 로그아웃까지 설계해야 한다.
• RefreshToken은 서버에서 관리되며, AccessToken 만료 시의 보안성과 UX를 동시에 보장한다.
• 완성된 구조는 확장 가능한 인증 시스템의 기반이 된다.

---