Kakao OAuth2 + JWT + Redis를 통한 인증 과정 구현 (3) - Redis로 RefreshToken 관리

지난 포스팅에서 JWT를 프로젝트에 도입해 보았습니다.

로그인 성공 시 AccessToken과 RefreshToken을 클라이언트에게 Json으로 응답하도록 구현하고, 추가로 JWT 필터를 생성하여 AccessToken을 검증하도록 구현했었습니다.

그리고 JwtFilter에서 액세스 토큰이 유효하지 않은 경우에는 핸들러를 사용하여 로그인 요청 메시지를 클라이언트에게 응답으로 내려주었었는데요.

마지막으로 유효성과 별개로 액세스 토큰의 기한이 만료된 경우에 RefreshToken을 통해 AccessToken을 재발급받는 로직을 구현해보겠습니다.

 

액세스 토큰을 재발급하는 방법은 크게 2가지가 있겠습니다.

1. 요청마다 Access Token과 Refresh Token을 같이 넘기고 액세스 토큰이 만료된 경우 리프레시 토큰을 검증하여 재발급 받기
2. 재발급 API를 만들고 서버에서 Access Token이 만료되었다고 응답하면 Refresh Token으로 요청하여 재발급 받기.

저는 1번 방법으로 진행하였는데,

우선 RefreshToken이 유효한 지 검증하기 위해서는 로그인 시 발급받은 리프레시 토큰을 어딘가에 저장해두어야 하는데, 저는 속도가 빠르고 별도의 쿼리문이 필요하지 않은 Redis를 채택하였습니다.

 

0. 설정 정보

application.yml

redis:
  host: localhost
  port: 6379

• port는 기본 redis port인 6379로 지정해줍니다.

 

build.gradle에 의존성 추가

implementation 'org.springframework.boot:spring-boot-starter-data-redis'

 

 

RedisConfig

@EnableRedisRepositories
@Configuration
public class RedisConfig {

    @Value("${spring.datasource.redis.host}")
    private String redisHost;

    @Value("${spring.datasource.redis.port}")
    private int redisPort;

    @Bean
    public RedisConnectionFactory redisConnectionFactory() {
        return new LettuceConnectionFactory(redisHost, redisPort);
    }
}

• @EnableRedisRepositories로  레디스 레포지토리를 이용한다고 명시
• @Configuration for 수동 빈 등록
• @Bean으로 yml에 등록한 host, 포트번호로 Redis 클러스터를 빈으로 등록

---

Redis에 등록할 RefreshToken Entity

@Builder
@Getter
@AllArgsConstructor
@NoArgsConstructor
@RedisHash(value = "refresh", timeToLive = 604800)
public class RefreshToken {

    private String id;
    private Collection<? extends GrantedAuthority> authorities;

    @Indexed
    private String refreshToken;

    public String getAuthority() {
        return authorities.stream()
                .map(authority -> new SimpleGrantedAuthority(authority.getAuthority()))
                .collect(Collectors.toList())
                .get(0)
                .getAuthority();
    }
}

• @RedisHash는 Spring Data Redis 프레임워크에서 사용되는 어노테이션으로 엔티티 클래스를 Redis 해시 형식의 데이터로 매핑합니다.
  • 이 어노테이션을 명시하면 클래스의 인스턴스가 redis 해시로 매핑되고, Java 객체와 Redis 데이터베이스간 데이터를 변환하고 저장할 수 있습니다.
• @Indexed 어노테이션을 필드에 붙이게 되면 필드 값으로도 데이터를 빠르게 검색할 수 있습니다.

---

RefreshTokenRepository

public interface RefreshTokenRedisRepository extends CrudRepository<RefreshToken, Long> {

    RefreshToken findByRefreshToken(String refreshToken);
}

• JPA처럼 Redis와의 데이터 액세스를 담당하는 레디스 리포지토리는 CrudRepository를 상속받아 기본적인 메소드들을 사용할 수 있습니다. RefreshToken 엔티티에는 PK가 따로 지정되어 있지 않기 때문에 Long으로 지정해주었습니다.

 

---

로그인 성공 핸들러 리펙토링 

@Transactional
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                    Authentication authentication) throws IOException {
    OAuth2User oAuth2User = (OAuth2User) authentication.getPrincipal();
    KakaoUserInfo kakaoUserInfo = new KakaoUserInfo(oAuth2User.getAttributes());

    Member member = memberRepository.findByEmail(kakaoUserInfo.getEmail())
            .orElseThrow(MemberNotFoundException::new);

    TokenDto tokenDto = tokenProvider.createToken(member.getEmail(), member.getRole().name());

    saveRefreshTokenOnRedis(member, tokenDto);
    String redirectURI = String.format(REDIRECT_URI, tokenDto.getAccessToken(), tokenDto.getRefreshToken());
    getRedirectStrategy().sendRedirect(request, response, redirectURI);
}

 

private void saveRefreshTokenOnRedis(Member member, TokenDto tokenDto) {
    List<SimpleGrantedAuthority> simpleGrantedAuthorities = new ArrayList<>();
    simpleGrantedAuthorities.add(new SimpleGrantedAuthority(member.getRole().name()));
    refreshTokenRedisRepository.save(RefreshToken.builder()
            .id(member.getEmail())
            .authorities(simpleGrantedAuthorities)
            .refreshToken(tokenDto.getRefreshToken())
            .build());
}

 

• 로그인 성공 시 발급받은 refreshToken - 회원 이메일을 refreshToken 리포지토리에 저장하도록 수정하였습니다.

---

TokenProvider에 at/rt 재발급 메소드 추가

@Transactional
public TokenDto reIssueAccessToken(String refreshToken) {
    RefreshToken findToken = refreshTokenRedisRepository.findByRefreshToken(refreshToken);

    TokenDto tokenDto = createToken(findToken.getId(), findToken.getAuthority());
    refreshTokenRedisRepository.save(RefreshToken.builder()
            .id(findToken.getId())
            .authorities(findToken.getAuthorities())
            .refreshToken(tokenDto.getRefreshToken())
            .build());

    return tokenDto;
}

• refreshToken 값을 받아서 refreshToken이 유효하고 만료되지 않은 경우, redis에서 일치하는 리프레시 토큰을 찾아 새로 accessToken과 refreshToken을 발급받고 Redis에도 새로 발급받은 refreshToken을 업데이트 해줍니다.

---

JwtFilter 수정

@Override
protected void doFilterInternal(HttpServletRequest request,
                                HttpServletResponse response,
                                FilterChain filterChain) throws ServletException, IOException {
    if (isRequestPassURI(request, response, filterChain)) {
        return;
    }

    String accessToken = getTokenFromHeader(request, ACCESS_HEADER);

    if (validateExpire(accessToken) && validate(accessToken)) {
        SecurityContextHolder.getContext().setAuthentication(tokenProvider.getAuthentication(accessToken));
    }

    if (!validateExpire(accessToken) && validate(accessToken)) {
        String refreshToken = getTokenFromHeader(request, REFRESH_HEADER);
        if (validate(refreshToken) && validateExpire(refreshToken)) {
            // accessToken, refreshToken 재발급
            TokenDto tokenDto = tokenProvider.reIssueAccessToken(refreshToken);
            SecurityContextHolder.getContext()
                    .setAuthentication(tokenProvider.getAuthentication(tokenDto.getAccessToken()));

            redirectReissueURI(request, response, tokenDto);
        }
    }
    
    filterChain.doFilter(request, response);
}

• JWT 필터에서 액세스토큰 유효하지만 만료된 경우, 요청 헤더의 refreshToken 값을 받아 값이 유효하고 만료되지 않았는지 검사하고 tokenProvider에게 재발급을 위임합니다.
  • refreshToken이 유효하지 않거나 만료된 경우, 또는 accessToken이 유효하지 않거나 만료된 경우에는 doFilter로 타고 들어가 JwtAccessDeined 핸들러에서 에러 메시지로 응답하도록 동작합니다.

private static void redirectReissueURI(HttpServletRequest request, HttpServletResponse response, TokenDto tokenDto)
        throws IOException {
    HttpSession session = request.getSession();
    session.setAttribute("accessToken", tokenDto.getAccessToken());
    session.setAttribute("refreshToken", tokenDto.getRefreshToken());
    response.sendRedirect("/api/sign/reissue");
}

• 재발급을 통해 토큰을 받아 Authentication 객체를 만들어 시큐리티 컨텍스트에 보관하고, 발급받은 토큰들은 세션에 저장하여 클라이언트에게 redirect하여 알려줍니다.

@RestController
@RequiredArgsConstructor
@RequestMapping("/api/sign")
public class SignController {

    /**
     * 액세스 토큰 재발급 API
     */
    @GetMapping("/reissue")
    public ResponseEntity reissueToken(HttpServletRequest request) {
        HttpSession session = request.getSession();
        String accessToken = (String) session.getAttribute("accessToken");
        String refreshToken = (String) session.getAttribute("refreshToken");

        return new ResponseEntity(new TokenDto(accessToken, refreshToken), HttpStatus.OK);
    }

• redirect된 URI는 해당 컨트롤러와 매핑되어 클라이언트는 Json 형태로 새로 발급받은 액세스토큰, 리프레시 토큰의 정보를 알 수 있습니다. 클라이언트는 이제 이 값들을 헤더에 설정해서 서버에 요청하면 됩니다.

1) 액세스 토큰 유효, 리프레시 토큰 유효 -> 인증 통과

 

2) 액세스 토큰 만료, 리프레시 토큰 유효 -> 리프레시 토큰을 통해 액세스 토큰과 리프레시 토큰 재발급

 

3) 액세스 토큰 유효, 리프레시 토큰 만료 -> 로그인 시 액세스 토큰보다 리프레시 토큰의 만료기간이 길 뿐더러 액세스 토큰 재발급 시 리프레시 토큰도 함께 재발급 되기 때문에 액세스 토큰이 유효하고, 리프레시 토큰이 만료되는 경우는 절대 발생하지 X

 

4) 액세스 토큰 만료, 리프레시 토큰 만료 -> JwtAccessDenied 핸들러가 동작하여 클라이언트에게 재로그인 요청 메시지를 응답.

 

---

<참고 자료>

[SpringBoot] @RedisHash를 이용한 Spring Data Redis Repository 적용기

 

Redis를 통한 JWT Refresh Token 관리