MSA 환경에서 인증/토큰 재요청

📌 문제

JWT 토큰이 만료되었을 때 다시 요청을 처리하는 방법은 Refresh Token을 활용한 재발급 방식이 일반적이다.

예를 들어, 게시글 작성 중 토큰이 만료 되었을 때는 사용자가 재로그인/수동 로그인 시간 연장 하지 않고 refresh 처리가 되어야 한다!!

✅ 1. MSA 환경에서 JWT 인증 흐름

1️⃣ 사용자 로그인 → 인증 서버(Auth Service)에서 JWT 액세스 토큰과 리프레시 토큰 발급

• 액세스 토큰: 비교적 짧은 만료 시간 (예: 30분~1시간)
• 리프레시 토큰: 비교적 긴 만료 시간 (예: 7일~30일)
• 클라이언트는 액세스 토큰을 HTTP 헤더에 포함하여 API 요청

2️⃣ 게이트웨이(API Gateway)에서 JWT 토큰 검증 후 해당 마이크로서비스(Post Service 등)로 요청 전달

• JWT 토큰이 유효하면 그대로 요청을 서비스로 전달
• JWT 토큰이 만료되었을 경우 → 401(Unauthorized) 응답 반환

3️⃣ 클라이언트는 401 응답을 받으면 Refresh Token을 이용해 Auth Service에 새로운 Access Token 요청

• Refresh Token은 인증 서버에서만 검증 가능
• 인증 서버에서 리프레시 토큰을 검증 후, 새 액세스 토큰을 발급
• 이때 refresh token도 1회용으로 쓰고 재발급 하기도 함.

4️⃣ 새로운 JWT 액세스 토큰을 받아서 다시 API 요청

• 이후 다시 API Gateway를 통해 요청 진행

 

✅2. 구현 방법

✅2-1. 클라이언트(프론트엔드)에서의 구현 방식

클라이언트는 Interceptor (Axios, Fetch API, Retrofit 등)를 이용하여 자동으로 토큰 갱신을 처리한다. 자동으로 토큰을 갱신하여 사용자가 재로그인 없이 계속 작업 가능!!

해당 과정이 인증을 필요로 하는 api요청에서 공통으로 필요하기에 나는 ‘axiosWhitAuth’모듈을 별도 정의 하여 사용했다.

 

📖 호출 예제

**const response = await axiosWhitAuth.post(url, formData);**

 

📖 모듈 예제: Vue3(Axios)

import axios from "axios";

import router from "@/router";

const axiosWhitAuth = axios.create({

	baseURL: "<http://localhost:8080>",

	withCredentials: true, // 쿠키 기반 인증을 사용할 경우 필요

});

axiosWhitAuth.interceptors.request.use((config) => {

	const accessToken = localStorage.getItem("accessToken");
	
	if (accessToken) {
	
		config.headers.Authorization = `Bearer ${accessToken}`;
	
	}

	return config;

}, (error) => {

	return Promise.reject(error);

});

// 응답 인터셉터 설정 (토큰 자동 갱신)

axiosWhitAuth.interceptors.response.use(

response => response,

async error => {

	if (error.response && error.response.status === 401) { //&& error.response.data.error === "Invalid Access Token"
	
		console.log("Access Token 만료, Refresh Token으로 재발급 시도");
		
		const originalRequest = error.config;

		try {
		
			const response = await axios.post("/user/api/auth/refresh", {}, { withCredentials: true });
			
			const newAccessToken = response.data.accessToken;
			
			localStorage.setItem("accessToken", newAccessToken);
			
			// 원래 요청에 새로운 토큰 추가 후 재시도
			
			originalRequest.headers["Authorization"] = `Bearer ${newAccessToken}`;
			
			return axiosWhitAuth(originalRequest);
		
		} catch (refreshError) {
		
			console.error("리프레시 토큰 만료 또는 실패", refreshError);
			
			alert("로그인이 필요합니다.");
			
			router.push({ name: "LoginPage" });
			
			return;
		
		}

	}

	return Promise.reject(error);

}

);

export default axiosWhitAuth;

 

✅2-2. API Gateway에서 JWT 검증 방식

보통 Spring Cloud Gateway + Spring Security를 사용하여 JWT를 검증합니다.

 

📖 API Gateway에서 JWT 필터 적용 (Spring Security 사용)

@Configuration

@EnableWebFluxSecurity

public class SecurityConfig {

@Bean

public SecurityWebFilterChain securityWebFilterChain (ServerHttpSecurity http) throws Exception {

http.csrf(csrf -> csrf.disable())

.formLogin(login -> login.disable())

.httpBasic(basic -> basic.disable())

.cors(cors -> cors.configurationSource(corsConfigurationSource()));

http.addFilterBefore(jwtAuthenticationFilter, SecurityWebFiltersOrder.AUTHENTICATION);

http.authorizeExchange(exchanges -> exchanges

.pathMatchers("/user/api/auth/**", "/user/api/users/**").permitAll()

.pathMatchers("/order/**").hasRole("USER")

.anyExchange().authenticated() // 기본적으로 모든 요청 인증, 어떤 권한이라도 있으면 통과

);

http.exceptionHandling(exceptionHandling -> exceptionHandling

.authenticationEntryPoint(new HttpStatusServerEntryPoint(HttpStatus.UNAUTHORIZED)) // 401 응답 설정, 이거 없으면 authenticated걸렸을 때 로그인 팝업이 뜬다.

);

return http.build();

}

}

 

📖 JWT 필터에서 응답 할 수도 있다.

@Component

public class JwtAuthenticationFilter implements GlobalFilter {

@Override

public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {

ServerHttpRequest request = exchange.getRequest();

// Authorization 헤더에서 JWT 추출

if (!request.getHeaders().containsKey("Authorization")) {

return onError(exchange, "Missing Authorization Header", HttpStatus.UNAUTHORIZED);

}

String token = request.getHeaders().getOrEmpty("Authorization").get(0).replace("Bearer ", "");

try {

// JWT 검증 (만료 여부 체크)

Jwts.parserBuilder().setSigningKey(secretKey).build().parseClaimsJws(token);

} catch (ExpiredJwtException e) {

return onError(exchange, "Token Expired", HttpStatus.UNAUTHORIZED);

} catch (Exception e) {

return onError(exchange, "Invalid Token", HttpStatus.UNAUTHORIZED);

}

return chain.filter(exchange);

}

private Mono<Void> onError(ServerWebExchange exchange, String err, HttpStatus status) {

exchange.getResponse().setStatusCode(status);

return exchange.getResponse().setComplete();

}

}

 

✅2-3. 인증 서비스 (Auth Service)에서 Refresh Token 처리

• Refresh token은 쿠키와 DB(or 캐시)에 저장!!
• 사용자가 요청하면 쿠키는 자동으로 포함되고, 이를 db에 저장된 것과 비교하여 같을 때만 유효한걸로 한다.
• 정책에 따라 refresh token도 일회용으로 한다. (refresh 할 때 refresh token도 재발급o)

 

📖 토큰 갱신 (cookie, redis에 토큰 저장, refresh token 재발급)

//AuthController.java

@PostMapping("/refresh")

public ResponseEntity<Map<String, String>> refreshToken(@CookieValue(value = "refreshToken", required = false) String refreshToken) {

Map<String, String> tokens = userService.refreshAccessToken(refreshToken);

saveRefreshToken(tokens.get("refreshToken"));

Map<String, String> response = new HashMap<>();

response.put("accessToken", tokens.get("accessToken")); // accessToken, refreshToken 포함

return ResponseEntity.ok(response);

}

private HttpHeaders saveRefreshToken(String refreshToken) {

//refreshToken은 HttpOnly쿠키에 저장

String cookieHeader = "refreshToken=" + refreshToken + "; Path=/; HttpOnly; Secure";

HttpHeaders headers = new HttpHeaders();

headers.add("Set-Cookie", cookieHeader);

return headers;

}

 

 

📖 UserService.java

나는 캐시에도 저장해서 refresh 토큰 비교하는데 캐시말고 그냥 db에 저장해도 됨.

나는 refresh token을 1회쓰면 재발급 하도록 했음.

// UserService.java
public Map<String, String> refreshAccessToken(String refreshToken) {

// Refresh Token 검증

if (!jwtTokenProvider.validateToken(refreshToken)) {

throw new InvalidCredentialsException("Invalid Refresh Token");

}

// 저장된 Refresh Token과 비교하여 검증

String username = jwtTokenProvider.getUsernameFromToken(refreshToken);

String savedRefreshToken = cacheService.getRefreshToken(refreshToken);

User user = userRepository.findByUsername(username)

.orElseThrow(() -> new UsernameNotFoundException("User not found"));

if (!refreshToken.equals(savedRefreshToken)) {

throw new InvalidCredentialsException("Refresh Token mismatch");

}

// 토큰 생성

Map<String, String> tokens = jwtTokenProvider.generateTokens(user);

// refresh Token을 캐시에 저장

cacheService.saveRefreshToken(username, tokens.get("refreshToken"));

return tokens;

}