[Spring] Redis (JWT access/refresh token)

이번에 JWT 인증 방식를 Redis를 이용해서 구현하는 것을 목표로 하기 때문에 JWT에 대한 정보는 작성하지 않으려고한다. JWT에 대해서 전혀 모르는 경우 구글에 검색하면 굉장히 많은 정보가 나오므로 참고하면 좋을 것 같다.

💡 REDIS(REmote Dictionary Server) ?

메모리 기반의 “키-값” 구조 데이터 관리 시스템이며, 모든 데이터를 메모리에 저장하고 조회하기에 빠른 Read, Write 속도를 보장하는 비 관계형 데이터베이스이다. REDIS에 대한 장단점을 짧게 말하자면 장점은 빠른 처리 속도이고, 단점은 저장 공간 제약이다.

🔑 레디스 설정

Lettuce vs Jedis

Spring Date Redis를 통해 Lettuce, Jedis라는 구현체가 존재한다.
둘 중 Lettuce가 코드도 간단하고 레퍼런스도 많으며 성능도 좋기 때문에 Lettuce를 사용한다.

Lettuce는 별도의 설정 없이 사용할 수 있으며 Jedis를 사용하고자 하면 별도의 의존성을 필요로 한다. Lettuce를 사용할 것 이므로 별도의 의존성 설정은 하지 않고 진행한다.

build.gradle

plugins {
    id 'java'
    id 'org.springframework.boot' version '3.2.1'
    id 'io.spring.dependency-management' version '1.1.4'
}

group = 'com.example'
version = '0.0.1-SNAPSHOT'

java {
    sourceCompatibility = '17'
}

configurations {
    compileOnly {
        extendsFrom annotationProcessor
    }
}

repositories {
    mavenCentral()
}

dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-data-jpa'
    implementation 'org.springframework.boot:spring-boot-starter-data-redis'
    implementation 'org.springframework.boot:spring-boot-starter-web'

    implementation 'io.jsonwebtoken:jjwt-api:0.11.5'
    implementation 'io.jsonwebtoken:jjwt-impl:0.11.5'
    implementation 'io.jsonwebtoken:jjwt-jackson:0.11.5'

    compileOnly 'org.projectlombok:lombok'
    runtimeOnly 'com.mysql:mysql-connector-j'
    annotationProcessor 'org.projectlombok:lombok'
    testImplementation 'org.springframework.boot:spring-boot-starter-test'


}

tasks.named('test') {
    useJUnitPlatform()
}

application.yml

server:
  port: 8081
spring:

  # Redis
  cache:
    type: redis
  data:
    redis:
      host: localhost
      port: 6379

  # DataSource Setting
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/jwt?useSSL=false&allowPublicKeyRetrieval=true&characterEncoding=UTF-8&serverTimezone=Asia/Seoul
    username:
    password:

  # JPA Setting
  jpa:
    hibernate:
      ddl-auto: none
      naming:
        physical-strategy: org.hibernate.boot.model.naming.PhysicalNamingStrategyStandardImpl

# JWT secretKey 64자리
jwt:
  secretKey: testsecrettestsecrettestsecrettestsecrettestsecrettestsecretKey1

🧲 RedisTemplate, RedisRepository

Redis를 핸들링 하기 위해 Redis Template과 JPA와 유사한 방식으로 객체를 통해 Redis를 제어할 수 있는 Redis Repository 두가지 방법이 있다.

간단한 기능이 필요하고 복잡한 데이터 유형을 다루지 않는다면 Redis Repository가 편리할 수 있다. 그러나 더 많은 제어와 유연성이 필요하거나 특정 데이터 유형을 다뤄야 하는 경우에는 RedisTemplate을 사용하는 것이 더 적합할 수 있다.

RedisTemplate를 사용해 보도록 하자!

💡 RedisTemplate

RedisTemplate을 이용해서 Redis에 접근하는 Service를 만들어 관리할 수 있다.

자세한 내용은 아래 소스를 참고하자.

@Service
@RequiredArgsConstructor
public class RedisService {
  private static final long REDIS_TOKEN_EXPIRATION = 3 * 24 * 60 * 60 * 1000; // 3 days

  private final RedisTemplate<String, String> redisTemplate;

  public void saveTokensToRedis(String accessToken, String refreshToken) {
    // Redis에 토큰 저장
    redisTemplate.opsForValue().set(accessToken, refreshToken, REDIS_TOKEN_EXPIRATION, TimeUnit.MILLISECONDS);
  }

  public void deleteTokensFromRedis(String accessToken) {
    // Redis에서 토큰 삭제
    redisTemplate.delete(accessToken);
  }

  // accessToken 유무 체크
  public boolean isTokenExists(String accessToken) {
    return redisTemplate.hasKey(accessToken);
  }

  // refreshToken 가져오기
  public String getRefreshToken(String key) {
    return redisTemplate.opsForValue().get(key);
  }

}

🔑 JWT 인증

처음에 JWT에 대한 정보를 작성하지 않는다고 했지만 아주 간략하게 알아보자.

• 로그인 시 유효 기간이 매우 짧은 Access Token과 유효 기간이 긴 Refresh Token을 함께 발급.
• Access Token이 만료되면 Refresh Token을 통해 새 Access Token과 새 Refresh Token을 재발급
• 새로고침으로 Access Token 값이 없어지면 Refresh Token을 통해 새 Access Token과 새 Refresh Token을 발급
• 로그아웃 시 Access Token과 Refresh Token 모두 무효화 시킨다.

인터넷에 많은 정보들이 존재하니 도움을 받으면 좋겠다. 여기서는 이정도만 설명하고 넘어가겠다.

로그인에 대한 인증 방법을 작성한 Service를 만들어 보았다. JwtUtils에 대한 자세한 정보 및 다른 소스들은 아래 깃허브에 작성해두었다.

🎀 깃허브에는 주석으로 코틀린 버전도 작성해 두었다.

@Service
@RequiredArgsConstructor
public class LoginService {
  private static final long ACCESS_TOKEN_EXPIRATION = 15 * 60 * 1000; // 15 minutes
  private static final long REFRESH_TOKEN_EXPIRATION = 3 * 24 * 60 * 60 * 1000; // 3 days
  private final UserRepository userRepository;
  private final RedisService redisService;

  @Value("${jwt.secretKey}")
  private String jwtSecretKey;


  public HashMap<String, Object> login(LoginDto loginDto) {
    User loginData = userRepository.findByUserId(loginDto.getUserId()).orElseThrow(
            () -> new ApiError("401", "입력한 회원정보는 일치하지 않습니다."));

    if (loginData.getUserPwd().equals(loginDto.getUserPwd())) {
      JwtResultResponse jwtToken = JwtUtils.createJwtToken(jwtSecretKey, ACCESS_TOKEN_EXPIRATION, loginData);
      JwtResultResponse jwtRefreshToken = JwtUtils.createJwtToken(jwtSecretKey, REFRESH_TOKEN_EXPIRATION, loginData);

      HashMap<String, Object> loginHashMap = new HashMap<>();

      loginHashMap.put("jwtToken", jwtToken.getToken());
      loginHashMap.put("jwtRefreshToken", jwtRefreshToken.getToken());

      redisService.saveTokensToRedis(jwtToken.getToken(), jwtRefreshToken.getToken());

      return loginHashMap;
    } else throw new ApiError("401", "입력한 회원정보는 일치하지 않습니다.");
  }

  public HashMap<String, Object> reToken(User user) {
    JwtResultResponse jwtToken = JwtUtils.createJwtToken(jwtSecretKey, ACCESS_TOKEN_EXPIRATION, user);
    JwtResultResponse jwtRefreshToken = JwtUtils.createJwtToken(jwtSecretKey, REFRESH_TOKEN_EXPIRATION, user);

    HashMap<String, Object> loginHashMap = new HashMap<>();

    loginHashMap.put("jwtToken", jwtToken.getToken());
    loginHashMap.put("jwtRefreshToken", jwtRefreshToken.getToken());

    redisService.saveTokensToRedis(jwtToken.getToken(), jwtRefreshToken.getToken());

    return loginHashMap;
  }
}

---

마무리

처음에 모든 데이터를 메모리에 저장하고 조회하기 때문에 빠르고 좋다는 redis를 알게 되었을 때 어떻게 동작되는 건지 감이 오지 않았다. 하지만 직접 구현해 보면서 어느 정도 이해를 하게 되었고 추후 대용량 트래픽에 대응할 수 있는 대안이 될 것이라고 생각이 된다. 아직 대용량 트래픽을 받아 처리할 환경도 아니고 실력도 아니라고 생각하지만 언젠가 그렇게 사용해 볼 수 있는 날이 왔으면 좋겠다.

---

Github : https://github.com/Jungmin-Dev/jwt

출처 : https://byungil.tistory.com/309 - [Redis) 싱글벙글 Refresh Token을 Redis에 저장하고 사용해보자]

출처 : https://velog.io/@turtledev/Spring-Redis-Redis-Template%EA%B3%BC-Redis-Repository - [Spring, Redis] Redis Template과 Redis Repository