[Spring Security] Refresh Token 기반으로 new AccessToken받는 API 구현하기

 

내가 예전 포스팅에서 썻던 토큰 인증 과정임.

 

---

[리프레시 토큰 발급 과정]

​

1. 클라이언트 -> 서버 : 인증 요청

2. 서버 -> 클라이언트 : 액세스 토큰 & 리프레시 토큰 응답

3. 서버 -> DB : 리프레시 토큰은 저장

4. 클라이언트 -> 서버 :API 요청

5. 서버 : 토큰 유효성 검사 하고 응답

~~ 시간이 흐르고 ~~

6. 클라이언트 -> 서버 : (만료된 토큰으로) API 요청

7. 서버 -> 클라이언트 : 토큰 만료됐다고 응답

8. 클라이언트 -> 서버 : (리프레시 토큰과 함꼐) 액세스 토큰 발급 요청

9. 서버 -> DB : 리프레시 토큰 조회 & 유효성 검사

10. 서버 -> 클라 : 만족하면, new 액세스 토큰으로 응답

11. 클라 -> 서버 : new 액세스 토큰으로 다시 요청...(4번부터 반복)

 

 

 

💡 액세스 토큰이 유효할 때

JWT 자체에 있는 Claim에서 userId같은 정보 꺼내옴

DB 접근 안해도 됨.

 

💡 액세스 토큰이 만료됐을 때

리프레시 토큰 받아서

DB에서 리프레시 토큰 조회, 해당 토큰에 관련된 userId얻어서

새 엑세스 토큰 만듦

 

 

 

 

 

 

 

 

---

이번 포스팅에서는,

리프레시 토큰 받아서 유효성 검사하고

유효한 리프레시 토큰이라면 새로운 accessToken발급하는

토큰 API만들거임!

 

 

 

 

먼저 UserService.java쪽에 메서드를 추가함

 

@RequiredArgsConstructor
@Service
public class UserService {

    private final UserRepository userRepository;
    private final BCryptPasswordEncoder bCryptPasswordEncoder;

    public Long save(AddUserRequestDto dto) {
        return userRepository.save(User.builder()
                .email(dto.getEmail())
                .password(bCryptPasswordEncoder.encode(dto.getPassword()))
                .build()).getId();
    }

	// 추가 된 메서드
    public User findById(Long userId) {
        return userRepository.findById(userId)
                .orElseThrow( () -> new IllegalArgumentException("Unexpected user"));
    }
}

 

토큰 기반 요청이 들어온 후에

실제 유저를 DB에서 확인하거나 가져올때 사용됨.

 

 

 

---

 

다음으로 service디렉토리에 RefreshTokenService.java 새 파일 생성해서

 

@RequiredArgsConstructor
@Service
public class RefreshTokenService {

    private final RefreshTokenRepository refreshTokenRepository;

    public RefreshToken findByRefreshToken(String refreshToken) {
        return refreshTokenRepository.findByRefreshToken(refreshToken)
                .orElseThrow( () -> new IllegalArgumentException("Unexpected refresh token"));
    }
}

 

이 과정은, 위에 리프레시 토큰 발급과정

(노란색 형광펜)

중 9번에 해당하는 코드임!

 

 

 

---

 

service 디렉토리 내에

TokenService.java 파일 생성

 

@RequiredArgsConstructor
@Service
public class TokenService {

    private final TokenProvider tokenProvider;
    private final RefreshTokenService refreshTokenService;
    private final UserService userService;

    public String createNewAccessToken(String refreshToken) {

        // 리프레시 토큰 유효성 검사
        if(!tokenProvider.validToken(refreshToken)) {
            throw new IllegalArgumentException("Invalid refresh token");
        }
        
        Long userId = refreshTokenService.findByRefreshToken(refreshToken).getUserId();
        User user = userService.findById(userId);
        
        return tokenProvider.generateToken(user, Duration.ofHours(2));
    }
}

 

 

여기서 작성한 createNewAccessToken()메서드는

리프레시 토큰을 전달받고

 

유효성 검사하고

유효다면 그 리프레시 토큰 기반으로 userId찾고

그 유저한테 새로운 accessToken을

tokenProvider.generateToken()해서 넘겨줌.

 

 

 

 

---

 

컨트롤러 쪽 들어가기 전에 DTO들부터 만들겠음.

 

DTO두개 만들고~

@Getter
@Setter
public class CreateAccessTokenRequestDto {
    private String refreshToken;
}



@AllArgsConstructor
@Getter
public class CreateAccessTokenResponseDto {
    private String accessToken;
}

 

 

 

 

 

 

컨트롤러 추가할 차례

@RequiredArgsConstructor
@RestController
public class TokenApiController {
    
    private final TokenService tokenService;
    
    @PostMapping("/api/token")
    public ResponseEntity<CreateAccessTokenResponseDto> createNewAccessToken(
            @RequestBody CreateAccessTokenRequestDto request) {
        String newAccessToken = tokenService.createNewAccessToken(request.getRefreshToken());
        
        return ResponseEntity.status(HttpStatus.CREATED)
                .body(new CreateAccessTokenResponseDto(newAccessToken));
    }
}

 

기존 액세스 토큰이 만료되어서

리프레시 토큰을 보내서 new 엑세스 토큰 주세요~

할때 보내는 엔드 포인트.