[서버개발캠프] 인증 서버 - 로그인 : JWT + Redis

로그인

 JWT 기반의 로그인 기능을 구현했다. 전체적인 로직은 다음과 같다.

1. 사용자 로그인 요청
2. 사용자 확인 후, access token과 refresh token 발급
3. refresh token을 Redis에 저장
4. 토큰 재발급 요청 시, Redis에 refresh token 정보가 존재하는지 확인 후 발급
5. 로그아웃 시, Redis에 refresh token 정보 삭제

 access token은 30분, refresh token은 2주의 유효기간을 두었다. refresh token의 경우 유효기간이 길기 때문에, 서버사이드에서 관리가 가능하도록 Redis에 저장했다. refresh token을 통해 토큰 재발급 요청 시, refresh token의 유효성 여부 뿐만아니라 Redis에 refresh token 정보가 존재하는지 확인 후 토큰을 재발급한다. 로그아웃 시에 Redis에 해당 사용자의 refresh token을 삭제하기 때문에, 로그아웃 상태에서 토큰을 재발급 할 수 없는 구조이다.

 

UserService.java

@RequiredArgsConstructor
@Service
public class UserService {

    private final UserRepository userRepository;
    private final PasswordEncoder passwordEncoder;
    private final JwtUtil jwtUtil;
    private final MailUtil mailUtil;
    private final RedisUtil redisUtil;

    public TokenResponseDto signin(SigninRequestDto signinRequestDto) {

        String email = signinRequestDto.getEmail();
        String password = signinRequestDto.getPassword();

        User user = userRepository.findByEmail(email);
        if(user==null) throw new EmailNotExistException(email);

        userRepository.updateAccessedAt(user.getId(), new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date()));

        if(!passwordEncoder.matches(password, user.getPasswd())) throw new PasswordWrongException();

        String accessToken = jwtUtil.createToken(user.getId(), user.getEmail(), user.getNickname(), user.getRole(), "ACCESS_TOKEN", 30);
        String refreshToken = jwtUtil.createToken(user.getId(), user.getEmail(), user.getNickname(), user.getRole(), "REFRESH_TOKEN", 60*24*14);

        redisUtil.set(refreshToken, user.getRole(), 60*24*14);

        return TokenResponseDto.builder()
                .id(user.getId())
                .email(email)
                .nickname(user.getNickname())
                .role(user.getRole())
                .accessToken(accessToken)
                .refreshToken(refreshToken)
                .build();
    }

    public void signout(String refreshToken) {
        if(!redisUtil.delete(refreshToken)) throw new SignoutException();
    }

    public TokenResponseDto refreshToken(String refreshToken) throws ExpiredJwtException {

        // 로그아웃 상태에서 refresh 요청
        if(!redisUtil.hasKey(refreshToken)) throw new UnauthorizedException();

        Claims claims = jwtUtil.getClaims(refreshToken);

        int userId = (int) claims.get("userId");
        String email = claims.getSubject();
        String nickname  = (String) claims.get("nickname");
        int role = (int) claims.get("role");

        String accessToken = jwtUtil.createToken(userId, email, nickname, role, "ACCESS_TOKEN", 30);

        return TokenResponseDto.builder()
                .id(userId)
                .email(email)
                .nickname(nickname)
                .role(role)
                .accessToken(accessToken)
                .refreshToken(refreshToken)
                .build();
    }
}

 

토큰 검사 및 사용

 인증서버에서 발급 받은 토큰은 다른 서비스 서버에서 사용자 인증 및 정보 제공하는데 사용된다. 나는 현재 개발 중인 자기소개서 서버에서, 인터셉터를 통해 토큰의 유효성을 검사하고, 각각의 요청에 맞게 서비스 단에서 토큰에 담긴 사용자 정보를 통해, 요청한 리소스(자기소개서 등)에 접근 가능한지 여부 등을 판단한다.

 현재 개발 중인 서비스에서는 각각의 서비스 서버가 토큰의 유효성 검사를 각자 수행하지만, API Gateway를 개발하게 되면 해당 로직을 한번에 처리할 수 있을듯 하다.

JwtCheckInterceptor.java

@Component
public class JwtCheckInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = jwtUtil.getToken(request);

        if(token.equals("Bearer")) throw new TokenNotExistException();

        if(!(jwtUtil.isValidToken(token) && jwtUtil.isAccessToken(token))) {
            throw new InvalidTokenException();
        }

        return true;
    }

}

 

WebMvcConfig.java

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private JwtCheckInterceptor jwtCheckInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtCheckInterceptor).addPathPatterns("/**");
    }
}

 

ResumeService.java

@RequiredArgsConstructor
@Service
public class ResumeService {

    private final ResumeRepository resumeRepository;
    private final JwtUtil jwtUtil;

    public ResumeDetailResponseDto getResume(String token, int resumeId) {

        if(!checkAuth(token, resumeId)) return null;

        Resume resume = resumeRepository.findResumeById(resumeId);
        List<Answer> answers = resumeRepository.findAnswersByResumeId(resumeId);

        return ResumeDetailResponseDto.builder()
                .resume(resume)
                .answers(answers)
                .build();
    }

    private boolean checkAuth(String token, int resumeId) {

        Resume resume = resumeRepository.findResumeById(resumeId);
        if(resume == null) throw new ResumeNotExistException(resumeId);

        int userId = getUserId(token);
        if(userId != resume.getUserId()) throw new UnauthorizedException();

        return true;
    }

    private int getUserId(String token) {
        Claims claims = jwtUtil.getClaims(token.substring("Bearer ".length()));
        return (int) claims.get("userId");
    }
}