JWT 토큰 관련

[f1v3-dev]

🛠️ 어떤 기능인가요?

1. 토큰의 만료 시간 설정

• 프론트 측과 이야기해서 설정해야 할 것 같음
• 추가적으로, AT 만료 시간과 RT 만료 시간을 매직 넘버로 하는 것보단, 상수 (static final)로 바꾸는 것은 어떨까요?

2. 토큰의 유효성 검사

    public String validate(String jwt) throws ExpiredJwtException, MalformedJwtException, JwtException {
        Claims claims = Jwts.parserBuilder()
                .setSigningKey(key)
                .build()
                .parseClaimsJws(jwt)
                .getBody();
        return claims.getSubject();
    }

/api/v1/auth/check 로 변형된 JWT를 헤더에 붙이고 요청을 해도 정상적으로 로그인이 되어있다고 판단하기 때문에 시스템적으로 문제가 발생할 것으로 예상이 됩니다. 현재 작성된 코드 내용으로만 보면, JWT의 변형이나 위조된 토큰에 대해 어떻게 대응할 것인지에 대해 고민을 해봐야 할 것 같아요.

뭔가 여러 상황에서 예외가 발생할 것 같다는 생각이 듭니다.

3. Refresh Token을 저장해야 하는가

예전에 그냥 놔두자 한 코드가 계속해서 주석 처리가 되어있어서 결정하고 처리를 하면 좋을 것 같아요.

🗒️ 작업 상세 내용

작업 상세 내용은 천천히 이야기 해보고 리스트업 해봐요!

• [ ] TODO
• [ ] TODO
• [ ] TODO

👀 참고할만한 자료(선택)

[RTUnu12]

1. 상수 (static final)로 바꾸는 것이 좋을 것 같아요.
2. 찾아봐야 할 듯 합니다. 변형된 토큰일 경우 손상된 토큰이라고 예외가 뜰텐데 흠...
3. 저장하지 않는 것이 좋을 것 같아요. 블랙리스트만!

[f1v3-dev]

저도 2번에 대해서 태웅님과 같은 생각을 했는데 reissue 를 통해서 AT를 발급하고

1. AT를 헤더에 붙여서 /api/v1/auth/check로 요청
2. AT를 변형하고 /api/v1/auth/check로 요청

위의 과정을 한 번 테스트 해보시는 것도 좋을 것 같아요! 아마 제가 JWT의 시그니처 쪽을 건드려서 그런건가 싶기도 한데 저도 한 번 찾아볼게요!

[f1v3-dev]

방금 토큰쪽 코드를 보다가 발견한건데

그냥 JwtProvider 에 있는 검증(validate) 메서드는 단순히 유효성 체킹을 하는 것인지 모르고 제가 코드를 작성을 했네요.

public class AuthService {
    // ...
    public String reissueToken(String refreshToken) {

        String kakaoId = jwtProvider.validateToken(refreshToken);
        String accessToken = jwtProvider.createAccessToken(kakaoId);

        return "Bearer " + accessToken;
    }
}

위에 처럼 작성을 해놓은 코드에 추가적으로 memberRepository.existsByKakaoId() 와 같은 메서드로 한 번 더 검증을 해야할 것 같아요!

추후에 한 번 검증 코드쪽 수정하도록 하겠습니다.

[RTUnu12]

알겠습니다!