OAuth2.0 공부🔥

JWT 토큰

• 유저상태를 포함하여 암호화한 토큰으로, 이는 사용자 인증 시 의미있는 토큰이 된다 (이를 통해 사용자 인증이 가능하기 때문)
• 따라서 클라이언트가 JWT와 함께 리소스를 요청하면 JWT의 유효성을 판단하면 된다

OAuth와 JWT를 활용한 로그인 프로세스

1. 클라이언트가 OAuth 서버에 로그인을 요청하면, 인증 과정을 통해 OAuth 서버로부터 토큰 및 사용자 정보를 전달받는다
2. 인증이 완료된 클라이언트는 서버로부터 JWT 토큰을 받는다
3. 이후 클라이언트는 resource를 요청할 때마다 헤더에 JWT 토큰을 포함해서 요청하게 된다
4. 서버는 전달받은 헤더 속 JWT토큰의 유효성을 검사하여, 유효한 경우 클라이언트의 요청, 즉 resource를 전달한다

토큰 재발급

• 엑세스 토큰을 재발급 받으려면 클라이언트 측에서 리프레시 토큰과 엑세스 토큰을 모두 담아서 api 요청을 해야한다!
• 그럼 서버에서 받은 토큰들의 유효성과 사용자 정보를 확인하여 재발급을 해주는 것이다

redis 로그아웃

• redis를 사용해서 로그아웃을 구현하는 경우에는 우선 redis에서 저장한 refreshToken 정보를 삭제한다
• 그리고 아직 유효기간이 남아있는 accessToken의 경우 삭제가 불가능하기 때문에 redis내에 해당 엑세스 토큰을 black list로 올려두어 해당 토큰을 통해 로그인을 하는 경우 이를 막는 로직을 로그인 로직에 추가로 구현해둔다

고민했던 구현 순서

1. developer.kakao.com 에서 인증 정보 받기 : redirect url, client key? 정보
2. User, UserRepository 클래스 생성 - 사용자 정보 저장
3. Spring security 설정, dependency 추가 : gradle security config 클래스 생성
4. CustomOAuth2UserService 클래스 생성 - 회원 가입, 정보 수정 등 로직 구현
5. OAuthAttributes 클래스 생성 -> DTO
6. 로그아웃 구현
7. Controller 생성..? - /oauth/authorization/kakao