[Spring boot] Redis로 JWT 만료 Logout (Redis BlackList)

Backend Language/Spring boot(Java)

[Spring boot] Redis로 JWT 만료 Logout (Redis BlackList)

chaerlo127 2022. 8. 15. 22:45

앱 런칭 프로젝트를 진행하면서, 로그아웃 api를 생성했다.

JWT로 User의 정보를 접근하는 코드를 작성했기 때문에, 로그아웃을 하기 위해서는 AccessToken의 시간을 만료해야했다.

생성한 Token을 만료하기 위해서는 Redis를 사용해야한다는 것을 알게 되었고, 블로그에 작성하며 복습해보고자 한다.

1. build.gradle

implementation 'org.springframework.boot:spring-boot-starter-data-redis'

build.gradle에 위와 같은 dependencies 추가

2. RedisRepositoryConfig

@RequiredArgsConstructor
@Configuration
@EnableRedisRepositories
public class RedisRepositoryConfig {

    @Value("${spring.redis.host}")
    private String host;

    @Value("${spring.redis.port}")
    private int port;

    // lettuce
    @Bean
    public RedisConnectionFactory redisConnectionFactory() {
        return new LettuceConnectionFactory(host, port);
    }

    @Bean
    public RedisTemplate<String, Object> redisTemplate() {
        RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
        redisTemplate.setConnectionFactory(redisConnectionFactory());
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        redisTemplate.setValueSerializer(new StringRedisSerializer());
        return redisTemplate;
    }
}

@Value Annotation에 있는 spring.redis.host, port는 application properties에서 따로 작성해준다.

spring.redis.host=localhost
spring.redis.port=6379

redis를 localhost에서 사용하며, port는 6379를 사용할 예정이다.

3. JWTFilter

private final TokenProvider tokenProvider;
private final RedisTemplate redisTemplate;

@Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {

        // 1. Request Header 에서 토큰을 꺼냄
        String jwt = resolveToken(request);

        // 2. validateToken 으로 토큰 유효성 검사
        // 정상 토큰이면 해당 토큰으로 Authentication 을 가져와서 SecurityContext 에 저장
        if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt, request)) {
        
        // String ~ if 문까지 새롭게 추가
            String isLogout = (String)redisTemplate.opsForValue().get(jwt);

            if (ObjectUtils.isEmpty(isLogout)) {
                Authentication authentication = tokenProvider.getAuthentication(jwt);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        filterChain.doFilter(request, response);
    }

String isLogout 부터 if문 까지 새롭게 추가하고 RedisTemplate 를 DI로 추가해준다.

4. JwtSecurityConfig

JwtFilter에 DI를 추가했기 때문에 JwtSecurityConfig에도 의존성 추가하고, Constructor로 넘겨준다.

// 직접 만든 TokenProvider 와 JwtFilter 를 SecurityConfig 에 적용할 때 사용
@RequiredArgsConstructor
public class JwtSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    private final TokenProvider tokenProvider;
    private final RedisTemplate redisTemplate;
    // TokenProvider 를 주입받아서 JwtFilter 를 통해 Security 로직에 필터를 등록
    @Override
    public void configure(HttpSecurity http) {
        JwtFilter customFilter = new JwtFilter(tokenProvider, redisTemplate);
        http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

5. SecurityConfig

private final RedisTemplate redisTemplate;

....
...
..
.


.and()
.apply(new JwtSecurityConfig(tokenProvider, redisTemplate))

6. TokenProvider

public Long getExpiration(String accessToken) {
     // accessToken 남은 유효시간
     Date expiration = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(accessToken).getBody().getExpiration();
     // 현재 시간
     Long now = new Date().getTime();
     return (expiration.getTime() - now);
    }

getExpiration을 추가해준다. 현재 accessToken의 접근 가능 시간을 없애고 blacklist로 올린다.

7. Service

String accessToken = request.getHeader("Authorization").substring(7);

Long expiration = tokenProvider.getExpiration(accessToken);

redisTemplate.opsForValue()
         .set(accessToken, "logout", expiration, TimeUnit.MILLISECONDS);

getExpiration을 통해 accessToken의 접근 시간을 만료하기 위해 token의 값을 불러오고, redisTemplate로 접근시간을 만료한다.

이 때, service 부분에는 redisTemplate DI를 작성해줘야 한다.

8. Redis Window 다운로드

나는 수많은 블로그 글을 찾아보면서 build.gradle에 dependencies에서만 적용을 하면 redis가 되는 줄 알았지만 따로 다운로드 후 port 실행을 해야지 가능한 것이었다.

https://github.com/microsoftarchive/redis/releases

Releases · microsoftarchive/redis

Redis is an in-memory database that persists on disk. The data model is key-value, but many different kind of values are supported: Strings, Lists, Sets, Sorted Sets, Hashes - microsoftarchive/redis

github.com

위 깃허브 주소에서

Redis-x64-3.0.504.msi를 다운받으면 Redis를 활용한 로그아웃 기능 구현 완성이다.!!!

앱 런칭을 위해 redis를 배웠지만, 완벽하게 배우지 못했기 때문에 따로 시간을 내어 다시 공부를 진행해야 할 것 같다.

또한 redis를 서버 배포를 진행했을 때에도 사용하기 위해서 미리 공부를 진행할 예정이다.

Spring boot Security를 처음 접해봤지만, jwt, redis 등을 이번 기회를 통해 많이 알게된 것 같다.

[출처]

https://wildeveloperetrain.tistory.com/61

https://github.com/microsoftarchive/redis/releases

저작자표시