액세스 및 리프레시 토큰 구현

[jagaldol]

Description

기본 설정을 하며 Access 토큰의 경우 구현을 해두었습니다. 기획에 맞게 Refresh 토큰을 추가적으로 구현할 예정입니다.

Refresh Token의 전략은 RTR(Refresh Token Rotation) 전략을 사용하며 전달은 Access Token는 Authorization 헤더로 bearer 토큰 전달, Refresh Token은 http-only cookie로 전달합니다.

리프레시 토큰의 경우 reddis를 사용할 예정입니다.

동작 테스트를 위해 로그인, 로그아웃, 토큰 재발급까지의 api를 만들어 전체 과정을 확인합니다.

Tasks

• [x] 프로젝트에 reddis 추가
• [x] POST /api/login 구현
  • [x] 리프레시 토큰을 생성 및 reddis에 저장
  • [x] 리프레시 토큰은 http only cookie로 전달
  • [x] 액세스 토큰은 Authorization 헤더로 전달
• [x] POST /api/logout 구현
  • [x] 로그아웃 시 reddis에서 refresh 토큰 값 삭제
• [x] 토큰 재발급
  • [x] http-only cookie의 리프레시 토큰을 읽어 유효성 검사
  • [x] 기존 리프레시 토큰을 만료처리
  • [x] 액세스 토큰과 리프레시 토큰을 새로 발급하여 전달

References

• Refresh Token을 사용하는 이유(Feat. Redis)
• [REDIS] 📚 Window10 환경에 Redis 설치 & 설정
• [Redis] Redis란? - Docker로 간단 Redis(Local) 설치 (1)
• Redis를 활용해서 Refresh Token 구현하기
• 데이터베이스를 docker-compose로 구축하기(mysql, mongodb, redis)