Spring Boot + Redis + Jwt

기존에 Spring Security + Jwt 를 사용해서 만든 웹서비스에 RefreshToken 을 사용하기 위해 Redis 를 사용해보았다.

• 로그인에 성공하면 AccessToken, RefreshToken 을 발급한다. 이떼 RefreshToken은 Redis 를 통해 인메모리에 유저 ID 값을 키값으로 잡아 Token 값과 같이 저장하였다.

• 각 서비스를 이용할때 해당 AccessToken 을 사용해 인증, 인가를 진행한다.

• AccessToken 만료 시 RefreshToken 을 체크해서 유효하다면 AccessToken을 발급한다. 허나 RefreshToekn 도 만료라면 SecurityContextHolder에 Authentication 을 set 하지 않고 인증 인가를 허가 하지 않는다.

RefreshToken

Spring Data Redis 에서 Redis 를 사용하는 방법은 크게 2가지 방법이 있다.

RedisTemplate 와 Redis Repository 이다.

필자는 후자인 RedisRepository 를 사용하였다. 두 방식 모두 사용전에 Redis 와연결 설정을 해야하는데 Redis 에서는 기본적으로 localhost 에 연결해주기 때문에 따로 설정없이 진행하였다.

public interface RefreshTokenRepository extends CrudRepository<RefreshToken, String>{
}

마치 JPA Repository 설정하는것과 유사하다. 이렇게 설정하고 token을 조회할땐 @id 값에 해당하는 값을 통해 JPA 와 동일한 메서드를 통해 가져올수있다. 저장 역시 JPA 와 동일하게 save 메서드를 사용하면 된다.

RefreshToken을 저장하면 해당 내용처럼 저장되어진다.

AccessToken의 유효기간은 짧게 RefreshToken은 다소 길게 잡아서 AccessToken 탈취 위험성을 낮춘다.

또한 RefreshToken 의 긴 유효기간에 대비해서 RefreshToken Rotation 방법을 사용했다.

AccessToken 재 발급시 RefreshToken 도 재발급 하는 방식으로 RefreshToken 의 긴 유효기간에서 발생하는 취약점을 보완하였다.

다만 Logout 시 AccessToken의 만료 기간이 아직 남아있다면 서비스에 접근이 가능하지 않나 라는 의문이 생겼다.

그래서 로그아웃 시 AccessToken의 유효기간이 남아있다면 로그아웃 후 에도 서비스 접근이 가능하다는 점에서 위 같은 BlackList 등록 같은 로직을 사용했다.

그러나tateLess 함을 유지하지 못햇다는 점에서 아쉬움 이 남는다.

// 로그아웃 로직

 public void logOut(HttpServletRequest request){
        String refreshToken = request.getHeader("refreshToken");
        String accessToken = request.getHeader("accessToken");

        if (refreshToken != null && validateRefreshToken(refreshToken)){
            String idByToken = getIdByToken(refreshToken);
            refreshTokenRepository.deleteById(idByToken);
            
            if (validateAccessToken(accessToken)){
                BlackListTokenDto blackListTokenDto = BlackListTokenDto.builder()
                        .token(accessToken)
                        .memberId(getIdByToken(accessToken))
                        .build();
                BlackListToken blackListToken = blackListTokenDto.toDto(blackListTokenDto);

                blackListTokenRepository.save(blackListToken);


            }
        }
        
/// 엑세스 토큰 검증 시 blackList 해당 여부 확인 로직 추가


public boolean validateAccessToken(String accessToken) {
        if(validateBlackListToken(accessToken)){
            log.info("해당 토큰은 유효하지 않습니다.");
            return false;
        }

        try {
            SecretKey key = Keys.hmacShaKeyFor(secretKey.getBytes(StandardCharsets.UTF_8));
            Jws<Claims> claims = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(accessToken);

            return !claims.getBody().getExpiration().before(new Date());

        } catch (Exception e) {

            return false;
        }
    }

정리

RefreshToken을 사용 함으로써 기존 AccessToken 만을 사용하였을때의 토큰 탈취 위험성을 낮출수있었다. 문제가 생기면 RefreshToken 을 삭제 시키면 되기에 Logout 기능도 구현하였다.

요새는 많은 회사들이 클라우드 서비스를 사용하는데 주로 스케일 아웃 방식을 선호한다고 알고있다.

Stateless 한 방식을 사용하는 이유에는 해당 방식이 스케일 아웃 방식에 Fit 한 방식이라는 점을 빼놓을수 없을거같다.