[SpringBoot/Kotlin] JWT + SpringSecurity를 활용한 회원 API 구현 (3) - Refresh Token

💡 Refresh Token을 사용하여 안전한 API 통신을 만든다

 

➡️ 1탄 바로가기: 설정 및 회원가입

➡️ 2탄 바로가기: JWT 로그인 및 회원 정보 조회

---

AccessToken / RefreshToken

`AccessToken` 은 사용자의 인증 정보를 가지고 있다.

 

`AccessToken` 을 탈취 당할 경우, 사용자의 인증 정보가 탈취자(공격자)에게 그대로 노출 될 수 있다. JWT는 Stateless하기 때문에 서버에서는 해당 토큰을 가지고 있는 클라이언트가 공격자인지도 구분할 수 없기 때문에 AccessToken의 탈취는 매우 위험하다!

RefreshToken

이를 방지하기 위해 AccessToken의 만료 주기를 짧게 설정하고, 이를 보완할 수 있는 RefreshToken을 도입한다.

 

`RefreshToken`은 `AccessToken`과 다르게 사용자의 인증 정보를 담고 있지 않으며, 오직 만료 시간 정보만을 가지고 있다. `RefreshToken`의 만료 주기는 길게 설정한다. 즉, `AccessToken이` 만료되었을 경우, 사용자는 `RefreshToken`을 통해 새로운 AccessToken을 발급 받는다.

 

서버는 회원마다 발급된 RefreshToken을 저장하며, 이를 비교하여 요청 헤더에 담긴 RefreshToken의 유효성을 검사한다.

요청 방식

1. Client → Server: 이전에 발급된 Access-Token을 헤더에 넣어 요청을 보냄
2. Server → Client: 토큰이 만료되었을 경우, 상태코드와 함께 Expired 메세지를 응답
3. Client → Server: 만료된 Access-Token과 함께 Refresh-Token을 헤더에 함께 넣어 재요청
4. Server → Client: 요청에 대한 응답과 함께 헤더에 새롭게 발급된 Access-Token 넣어 응답

---

Member RefreshToken

Member에게 발급된 RefreshToken을 관리하는 Entity 및 Repository 생성

@Entity
class MemberRefreshToken(
    @Id
    val memberId: UUID? = null,

    private var refreshToken: String
) {
    fun updateRefreshToken(refreshToken: String) {
        this.refreshToken = refreshToken
    }

    fun validateRefreshToken(refreshToken: String) =
        this.refreshToken == refreshToken
}

 

interface MemberRefreshTokenRepository: JpaRepository<MemberRefreshToken, UUID>

RefreshToken 발급

최초 RefreshToken은 로그인 시 발급된다.

토큰 생성

만료기간만을 담은 RefreshToken을 생성하고, 이를 Member의 RefreshToken으로 데이터베이스에 저장

@Component
class TokenProvider(
    @Value("\\${jwt.secret}") 
		private val secret: String,
    @Value("\\${jwt.expiration-minutes}") 
		private val expirationMinutes: Long,
    @Value("\\${jwt.refresh-expiration-days}") 
		private val refreshExpirationDays: Long,
    private val memberRefreshTokenRepository: MemberRefreshTokenRepository
) {

    private val key by lazy { Keys.hmacShaKeyFor(Decoders.BASE64.decode(secret)) }
	
		...

		fun createRefreshToken(authentication: Authentication): String {
				val memberId = (authentication.principal as CustomUser).id
				val refreshToken = Jwts.builder()
            .setIssuedAt(Timestamp.valueOf(LocalDateTime.now()))
            .setExpiration(Date.from(Instant.now().plus(refreshExpirationDays, ChronoUnit.DAYS)))
            .signWith(key, SignatureAlgorithm.HS256).compact()
			
				memberRefreshTokenRepository.findByIdOrNull(memberId)?.updateRefreshToken(refreshToken)
            ?: memberRefreshTokenRepository.save(MemberRefreshToken(memberId, refreshToken))
			
				return refreshToken
		}

}

• `memberId` : `Authentication` 에 저장되어 있는 UserDetails 즉 CustomUser의 Id값
• 만료 기간을 담은 `RefreshToken`을 생성하고, memberRefreshToken 데이터베이스에 저장
  • 해당 멤버에게 발급된 RefreshToken이 존재할 경우, 새로 발급된 토큰으로 update
  • 존재하지 않을 경우, 새로 생성

로그인

@Transactional
@Service
class SignService(
		...
    private val authenticationManagerBuilder: AuthenticationManagerBuilder,
    private val tokenProvider: TokenProvider
) {
		...
    fun signIn(signInRequest: SignInRequest): TokenInfo {
        val authenticationToken = UsernamePasswordAuthenticationToken(signInRequest.email, signInRequest.password)
        val authentication = authenticationManagerBuilder.`object`.authenticate(authenticationToken)

        val accessToken = tokenProvider.createAccessToken(authentication)
        val refreshToken = tokenProvider.createRefreshToken(authentication) // 추가

        return TokenInfo(accessToken = accessToken, refreshToken = refreshToken)
    }
}

 

로그인 시, refreshToken 을 함께 발급하고, TokenInfo 객체에 함께 넣어 반환

---

토큰 검증

Filter

1. 요청 헤더에 담긴 `AccessToken`을 검사한다.
2. 만약 `AccessToken` 검증 단계에서 `ExpiredJwtException`이 발생할 경우, 헤더에 `RefreshToken`을 가져온다.
   • RefreshToken이 없을 경우, `401 Unauthorization` 에러를 내린다.
3. `RefreshToken`을 검증한 후, 새로운 `AccessToken`을 발급한다.

@Component
class JwtAuthenticationFilter(
    private val tokenProvider: TokenProvider
) : OncePerRequestFilter() {

    override fun doFilterInternal(
        request: HttpServletRequest, response: HttpServletResponse, filterChain: FilterChain
    ) {
        resolveToken(request, TokenInfo.TokenType.ACCESS_TOKEN.value)?.let { token ->
            handleAuthServlet(request, response) {
                try {
										// 1. 요청 헤더에 담긴 AccessToken을 검사한다.
                    (tokenProvider.getAuthentication(token) to token)
                } catch (e: ExpiredJwtException) {
										// 2. AccesToken Expired 예외가 발생할 경우, RefreshToken을 가져온다
                    val prevAccessToken = resolveToken(request, TokenInfo.TokenType.ACCESS_TOKEN.value) ?: throw e
                    val refreshToken = resolveToken(request, TokenInfo.TokenType.REFRESH_TOKEN.value) ?: throw e

										// RefreshToken을 검증한 후, 새로운 AccessToken을 발급한다.
                    reissueAccessToken(prevAccessToken, refreshToken)
                }
            }
        }

        filterChain.doFilter(request, response)
    }

    private fun reissueAccessToken(prevAccessToken: String, refreshToken: String): Pair<Authentication, String> {
        val authentication = tokenProvider.validateRefreshToken(prevAccessToken, refreshToken)
        val newAccessToken = tokenProvider.createAccessToken(authentication)

        return (authentication to newAccessToken)
    }

    private fun handleAuthServlet(...) {...}
    private fun resolveToken(...) {...}
}

• `reissueAccessToken`
  • `validateRefreshToken` : 만료된 이전 AccessToken과 Refresh 토큰을 활용해서, 두가지 토큰의 유효성을 검사한 후 authentication을 반환 받는다.
  • `createAccessToken` : 해당 authentication을 사용하여, 새로운 AccessToken을 발급받는다.

@Component
class TokenProvider(
		...
) {
		...
		/**
     * Refresh Token Validation 및 Authentication 반환
     */
		fun validateRefreshToken(prevAccessToken: String, refreshToken: String): Authentication = try{
        // Token Validation -> check expired
        getClaimsWithValidation(refreshToken)

        // User - Token Match Validation
        val oldTokenClaims = try {
            getClaimsWithValidation(prevAccessToken)
        } catch (e: ExpiredJwtException) {
            e.claims
        }

        val userId = oldTokenClaims["userId"] as String? ?: throw RuntimeException("권한 정보가 없습니다.")
        memberRefreshTokenRepository.findByIdOrNull(UUID.fromString(userId))?.takeIf {
            it.validateRefreshToken(refreshToken)
        } ?: throw ExpiredJwtException(null, null, "Refresh token is expired.")

        getAuthentication(oldTokenClaims)
    } catch (e: ExpiredJwtException) {
        throw ExpiredJwtException(null, null, "refresh token is expired")
    }
}

• `getClaimsWithValidation(refreshToken)` : RefreshToken은 만료시간만을 가지고 있으므로 해당 메소드를 통해 유효기간에 대한 Validation을 진행한다.
• `oldTokenClaims`: 만료된 토큰에서 claim을 얻는다 → 이를 통해, 요청한 유저를 식별할 수 있다.
• `oldTokenClaims`에 가지고 있던 UserId를 꺼내, 해당 User(Member)의 저장된 RefreshToken을 가져와 요청에 담긴 RefreshToken과 비교하여 최종적으로 유효성 검사를 완료한다.

---

개선사항

이로써, RefreshToken까지의 구현이 완료되었다. 개선 사항은 너무 많이.. 남았다..🥹

1. 에러처리: ExceptionHandler가 제대로 정의되지 않았고, 각 상황에 맞지않는 에러들을 내려주고 있다. 한번의 정리가 필요!
2. RefreshToken 재발급: RefreshToken이 만료되면 재로그인을 유도하는 것이 일반적이지만, 사용자의 편의와 더 강력한 보안(?)을 위해 유효기간이 얼마 안남았을 경우, 새로운 RefreshToken을 발급해주려한다.
3. 🌟RefreshToken 및 AccessToken 만료 제어🌟: AccessToken이 만료되지 않았는데, RefreshToken과 함께 요청이 들어온 경우, 이를 탈취 당한 상황으로 보고, 두 토큰 모두 만료처리하는 로직이 필요하다!!!!!

---

✔️코드는 아래에서✔️

https://github.com/jeongum/spring-security-kotlin

GitHub - jeongum/spring-security-kotlin