5. 사용자는 Refresh Token은안전한 저장소에 저장 후, Access Token을 헤더에 실어 요청을 보낸다.
6~7. Access Token을 검증하여 이에 맞는 데이터를 보낸다.
8. 시간이 지나 Access Token이 만료됐다.
9. 사용자는 이전과 동일하게 Access Token을 헤더에 실어 요청을 보낸다.
10~11. 서버는 Access Token이 만료됨을 확인하고 권한없음을 신호로 보낸다.
Tip
Access Token 만료가 될 때마다 계속 과정 9~11을 거칠 필요는 없다. 사용자(프론트엔드)에서 Access Token의 Payload를 통해 유효기간을 알 수 있다. 따라서 프론트엔드 단에서 API 요청 전에 토큰이 만료됐다면 곧바로 재발급 요청을 할 수도 있다.
12. 사용자는 Refresh Token과 Access Token을 함께 서버로 보낸다.
13. 서버는 받은 Access Token이 조작되지 않았는지 확인한후, Refresh Token과 사용자의 DB에 저장되어 있던 Refresh Token을 비교한다. Token이 동일하고 유효기간도 지나지 않았다면 새로운 Access Token을 발급해준다.
14. 서버는 새로운 Access Token을 헤더에 실어 다시 API 요청 응답을 진행한다.
: Refresh Token이 JWT라면 Access Token과 똑같이 stateless하고, 토큰 자체에 데이터를 담을 수 있다.
이 경우 Refresh Token의 유효성을 검사하기 위해 데이터베이스에 별도로 액세스하지 않아도 된다.
-> 서버의 부하가 상대적으로 적음.
-> Access Token과 마찬가지로 Refresh Token을 서버에서 제어할 수 없다는 단점이 있다.
Refresh Token 을 탈취당한 상황에서 토큰을 강제로 무효 시킬 수가 없음.
- JWT 형태가 아닌 Refresh Token
: Refresh Token으로 random string 또는 UUID 등을 사용하면 토큰을 사용자와 매핑되도록 데이터베이스에 저장해야한다. 이런 경우 Refresh Token 사용시 데이터 베이스에 액세스 해야한다. 하지만, 사용자를 강제로 로그아웃 시키거나 차단할 수 있게된다. 또한 Refresh Token 이 탈취됐을 경우 즉시 무효화 시킬 수 있다.
* Redis란 ? )
: Remote Dictionary Server로 key-value의 비정형 데이터를 저장하고 관리하기 위한 오픈소스 기반 비관계형 DBMS
외부 key-value 서버
- 특징
1 . 인메모리 데이터 스토어 : 원래 인메모리 기반은 휘발성이지만 Redis는 영속성을 지원한다.
-> 데이터를 디스크에 쓰는 구조가 아니라 메모리에서 데이터를 처리하기 때문에 속도가 빠름.
2. key-value 구조이기 때문에 쿼리를 사용할 필요가 없다.
3. String, Lists, Sets Sorted Sets, Hashes등 다양한 형태의 자료구조(컬렉션)를 지원한다.
4. Single Threades : 한 번에 하나의 명령만 처리한다.
5. 데이터가 영구적이어도 RDBMS만큼은 아니라 중요한 정보 저장보다는 주로 캐시 서버 용도로 많이 사용한다.
6. MySQL같은 DB와 비교할 때 데이터를 저장한다는 것만 같고 데이터의 저장 위치, 저장 바익, 저장할 데이터 타입에 차이가 있음.
- Redis 설정
Lettuce vs Jedis
Spring Data Redis에서 사용할 수 있는 Redis 구현체는 크게 Lettuce와 Jedis가 있다.
'spring-boot-starter-data-redis'를 사용하면 별도의 의존성 설정 없이 Lettuce를 사용할 수 있는데 Jedis는 별도의 설정이 필요하다.
RedisTemplate을 사용하기 위해서 @Configuration을 통해서 redisTemplate을 빈으로 등록해야함.
package com.soeun.GiftFunding.config;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.connection.lettuce.LettuceConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
@Configuration
public class RedisConfig {
private final String redisHost;
private final int redisPort;
public RedisConfig(
@Value("${spring.redis.host}")final String redisHost,
@Value("${spring.redis.port}")final int redisPort) {
this.redisHost = redisHost;
this.redisPort = redisPort;
}
@Bean
public RedisConnectionFactory redisConnectionFactory() {
return new LettuceConnectionFactory(redisHost, redisPort);
}
@Bean
public RedisTemplate<?, ?> redisTemplate() {
RedisTemplate<byte[], byte[]> redisTemplate =
new RedisTemplate<>();
redisTemplate.setConnectionFactory(redisConnectionFactory());
return redisTemplate;
}
}
- redisConnectionFactory() 메소드 : 레디스와 커넥션 맺을 수 있는 커넥션 팩토리만 설정된 상태. RedisConnectionFacotry 인터페이스를 통하여 LettuceConnectionFactory를 생성하여 반환한다.
- redisTemplate() 메소드 : 다른 직렬화 방식을 사용하기 위해 RedisTemplate bean을 생성.
* bean 이름을 redisTemplate으로 하면 자동설정(RedisAutoOcnfiguration)이 redisTemplate은 생성하지 않는다.
RedisTemplate : java Object를 redis에 저장하는 경우 사용. - Redis서버에 Redis 커맨드를 수행하기 위한 high-level-abstractions를 제공한다. - Object 직렬화, Connection management를 수행한다. - Redis 서버에 데이터 CRUD를 위해, Redis의 다섯가지 데이터 유형에 대한 Operation Interface를 제공한다. opsForValue : Strings를 쉽게 Serialize / Deserialize 해주는 Interface opsForList : List를 쉽게 Serialize / Deserialize 해주는 Interface opsForSet : Set를 쉽게 Serialize / Deserialize 해주는 Interface opsForZSet : ZSet를 쉽게 Serialize / Deserialize 해주는 Interface opsForHash : Hash를 쉽게 Serialize / Deserialize 해주는 Interface
4. <RefreshToken>
@Getter
@AllArgsConstructor
public class RefreshToken {
@Id
private String refreshToken;
private String mail;
}
- RefreshToken은 리프레시 토큰과 사용자의 메일정보를 가지고 있는 객체이다.
이 객체는 레디스에 저장되어 리프레시 토큰을 관리하는데 사용된다.
5. <RefreshTokenRepository>
Redis Template에서는 Repository를 인터페이스로 정의하지 않고 직접 구현해서 사용한다.
@Repository
@RequiredArgsConstructor
@Slf4j
public class RefreshTokenRepository {
private final RedisTemplate redisTemplate;
public void save(final RefreshToken refreshToken) {
log.info("save");
ValueOperations<String, String> valueOperations =
redisTemplate.opsForValue();
valueOperations.set(refreshToken.getRefreshToken()
, refreshToken.getMail());
redisTemplate.expire(
refreshToken.getRefreshToken(), 180L, TimeUnit.SECONDS);
}
public Optional<RefreshToken> findByMail(
final String refreshToken) {
ValueOperations<String, String> valueOperations =
redisTemplate.opsForValue();
String mail = valueOperations.get(refreshToken);
if (Objects.isNull(mail)) {
return Optional.empty();
}
return Optional.of(new RefreshToken(refreshToken, mail));
}
}
- save() 메소드 :
RestTemplate은 Redis 서버에 CRUD를 위해 Redis의 다섯가지 데이터 유형에 대한 Operation interface를 제공한다. 해당 메소드를 이용해 opsForValue()로 String을 직렬화해서 Redis에 set(저장)
redisTemplate.expire로 키인 refreshToken의 만료시간 세팅. 현재 테스트를 위해 60초로 지정.