fix: 토큰 재발급 로직 수정

[nayonsoso]

관련 이슈

• resolves: 로그인이 빠르게 해제되어 사용자 경험이 저해됨 #258

작업 내용

분명 엑세스 토큰 재발급 로직이 있을텐데 왜 사용자가 만료가 빠르다고 느끼는가 싶어 코드를 봤더니
엑세스 로직에서 실수가 있었습니다 🤕
코멘트로 설명하겠습니다!

그리고 몇가지 작은 리팩터링은 커밋을 따라가면 이해하시기 편하실겁니다~

앞으로의 계획 - 피드백 부탁!

토큰도 Sting, subject도 String 형식이라 이런 실수가 발생했습니다.
Token 이라는 클래스를 만들면 이런 실수를 사전에 방지할 수 있을 것 같습니다.
그리고 Token 클래스가 필드로 subject를 가지게 하고,
JwtAuthenticationFilter에서 Token 객체를 생성할 때 subject를 초기화한다면
여러곳에서 JwtUtils.parseSubject() 를 호출하고있는 지금의 코드를 개선할 수 있을 것 같습니다!
(지금은 parseSubject 함수가 19군데에서 호출되고 있습니다.)

[coderabbitai]

Walkthrough

1. AuthController의 reissueToken 메서드 파라미터가 Authentication에서 ReissueRequest로 변경되었습니다. 이전에는 Authentication 객체에서 토큰을 추출해 null 체크 후 authService.reissue()를 호출했으나, 이제는 ReissueRequest 객체를 직접 넘겨 검증 없이 authService.reissue()를 호출합니다. 반환 타입은 여전히 ResponseEntity<ReissueResponse>입니다.

2. AuthService의 reissue 메서드 시그니처가 String subject에서 ReissueRequest 객체로 변경되었습니다. 메서드는 ReissueRequest의 refresh token을 parseSubject를 통해 subject로 파싱하고, 저장된 refresh token과 비교해 일치하지 않거나 없으면 CustomException을 던집니다. 일치할 경우 새로운 access token을 생성해 ReissueResponse로 반환합니다.

3. AuthTokenProvider에서는 parseSubjectIgnoringExpiration 메서드 import가 삭제되고, getEmail(String token) 메서드가 제거되었습니다. 대신 SiteUser에서 subject를 추출하는 private 메서드 getSubject(SiteUser siteUser)가 추가됐으며, generateAccessToken과 generateAndSaveRefreshToken에서 siteUser.getId().toString() 대신 이 메서드를 사용하도록 변경되었습니다.

4. JwtUtils 클래스의 parseSubjectIgnoringExpiration과 parseSubject 메서드가 이름과 예외 처리 역할을 서로 교환했습니다. 새 parseSubject는 만료 예외를 처리하지 않고 실패 시 CustomException을 던지며, 새 parseSubjectIgnoringExpiration은 만료 예외를 잡아 만료된 토큰의 subject를 반환합니다. 내부 로직은 유지됩니다.

5. TokenType enum의 expireTime 필드와 생성자 파라미터 타입이 int에서 long으로 변경되어 더 큰 만료 시간을 지원합니다. ACCESS 토큰은 1시간, REFRESH 토큰은 기존 7일에서 90일로 만료 기간이 연장되었고, SIGN_UP 토큰은 10분으로 유지됩니다.

6. ReissueRequest라는 새로운 Java record가 추가되어, refreshToken 필드에 @NotBlank 검증 애노테이션과 한글 메시지가 포함되어 있습니다. 이 DTO는 리프레시 토큰을 포함한 요청을 처리하는 데 사용됩니다.

7. AuthServiceTest라는 새로운 테스트 클래스가 추가되어 로그아웃 시 토큰 블랙리스트 등록, 사용자 탈퇴 시 quitedAt 설정, 그리고 토큰 재발급 기능에 대한 정상 및 예외 케이스를 검증합니다. 테스트는 Spring Boot 환경에서 의존성 주입을 활용하며, AssertJ로 결과를 검증합니다.

✨ Finishing Touches

• 📝 Generate Docstrings

---

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Generate unit testing code for this file.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai generate unit testing code for this file.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and generate unit testing code.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Support

Need help? Create a ticket on our support page for assistance with any issues or questions.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai generate docstrings to generate docstrings for this PR.
• @coderabbitai generate sequence diagram to generate a sequence diagram of the changes in this PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[nayonsoso]

컨트롤러에서 accessToken을 authService.reissue() 함수의 인자로 넘겨줬는데,
reissue 서비스 코드에서는 String subject 라는 파라미터 이름을 사용해서,
마치 컨트롤러에서 subject를 바로 넘겨받은 것으로 해석해서 로직을 짰었습니다 🥲

변경된 코드에서는 파라미터 이름을 accessToken 으로 바꿔 오해를 방지하고,
토큰에서 subject를 추출하여 이후 로직을 수행하도록 했습니다.

[wibaek]

아 이런 문제가 있었군요~

말씀대로 Token 타입이 따로 있었으면 알아차리기 쉬웠을 것 같네요!

분리해서 커밋해주셔서 PR 읽기 매우 편했습니다🙂‍↕️

[Gyuhyeok99]

궁금한 점이 생겼습니다..!
지금 만료된 엑세스 토큰으로 리프레시토큰을 찾아와서 새 엑세스토큰을 발급해주는 거로 이해를 했습니다!

1. 이러면 클라이언트에서 리프레시 토큰을 보관할 이유가 없어진 거 같은데 맞나요?
2. 그래서 저는 클라이언트에서 만료된 엑세스 토큰 에러를 받으면 리프레시 토큰을 서버로 전송해서 그게 맞는지 검증하고 엑세스 토큰을 발급해주는 게 맞다고 생각했는데 혹시 이거 관해서 얘기한 게 있었나요? 제가 놓친 거 같아요 🥲
   (지금 방식이면 누군가 만료된 토큰을 탈취해도 계속 엑세스 토큰을 발급받는 거 아닌가란 생각이 들어서요!)

[wibaek]

어... 맞습니다 저는 저 accessToken이라는 이름으로 되있는게 refreshToken이라 생각했네요.
reissue API로 전송하는건 refresh token인걸로 알고 있어서요.

저도 전체 코드 다시 한번 읽어보고 말씀드리겠습니다

[nayonsoso]

아하 그렇네요...! 제가 뭐랑 헷갈린걸까요... 😭😭

refreshToken을 POST 요청으로 받아,
Redis에 존재하는지 보고 존재한다면 새로운 accessToken 을 발급하도록 수정하면 될까요?

[Gyuhyeok99]

이 방식이나 헤더로 받는 방식 두 개가 있을 거 같은데 전 둘 다 좋은 거 같아요!

[Gyuhyeok99]

Token 이라는 클래스를 만들면 이런 실수를 사전에 방지할 수 있을 것 같습니다.

이건 정말 좋은 아이디어같습니다! 캡슐화도 되고 타입 안정성도 생기니 도입 안할 이유가 없는 거 같네요 ㅎㅎ

[Gyuhyeok99]

엑세스 토큰 재발급은
authTokenProvider.generateAccessToken(accessToken);
가 아니라
authTokenProvider.generateAccessToken(subject);일 거 같은데 맞나요?

[nayonsoso]

ㅋㅎㅎㅎ... 이런 실수 방지하려면 Token 클래스가 정말 필요하겠네요..

[Gyuhyeok99]

이 방식이나 헤더로 받는 방식 두 개가 있을 거 같은데 전 둘 다 좋은 거 같아요!

[coderabbitai]

Actionable comments posted: 0

🧹 Nitpick comments (1)

src/main/java/com/example/solidconnection/auth/service/AuthService.java (1)

51-62: 향후 개선 제안: Token 클래스 도입

PR 설명과 이전 리뷰 코멘트에서 언급된 것처럼, Token 클래스를 도입하면 이러한 오류를 더욱 방지할 수 있을 것입니다:

1. 토큰과 subject를 명확히 구분
2. 타입 안전성 제공
3. JwtAuthenticationFilter에서 Token 객체 생성 및 subject 파싱
4. JwtUtils.parseSubject() 호출을 줄임

이 리팩토링은 코드 안정성과 유지보수성을 더욱 향상시킬 것입니다.

📜 Review details

Configuration used: CodeRabbit UI
Review profile: CHILL
Plan: Pro

📥 Commits

Reviewing files that changed from the base of the PR and between 71a7689 and 0fb26cd.

📒 Files selected for processing (5)

• src/main/java/com/example/solidconnection/auth/controller/AuthController.java (2 hunks)
• src/main/java/com/example/solidconnection/auth/domain/TokenType.java (1 hunks)
• src/main/java/com/example/solidconnection/auth/dto/ReissueRequest.java (1 hunks)
• src/main/java/com/example/solidconnection/auth/service/AuthService.java (2 hunks)
• src/test/java/com/example/solidconnection/auth/service/AuthServiceTest.java (1 hunks)

⏰ Context from checks skipped due to timeout of 90000ms (1)

• GitHub Check: build

🔇 Additional comments (16)

src/main/java/com/example/solidconnection/auth/controller/AuthController.java (2)

6-6: 필요한 ReissueRequest import를 추가했습니다.

컨트롤러에서 ReissueRequest DTO를 받기 위해 필요한 import를 올바르게 추가했습니다.

---

117-121: 토큰 재발급 로직이 개선되었습니다.

다음과 같은 개선 사항이 있습니다:

1. Authentication 객체 대신 ReissueRequest DTO를 직접 받아 처리하도록 변경
2. 컨트롤러에서 토큰 추출 로직을 제거하고 서비스 계층에 위임
3. 코드가 간결해지고 책임 분리가 명확해짐

이는 이전 코드에서 발생했던 혼동(Authentication에서 토큰을 추출해 subject로 처리하는 과정)을 해결하여 더욱 명확한 구조를 제공합니다.

src/main/java/com/example/solidconnection/auth/dto/ReissueRequest.java (1)

1-8: 적절한 DTO 구조 설계

다음과 같은 긍정적인 측면이 있습니다:

1. 리프레시 토큰을 위한 전용 DTO를 만들어 코드 가독성 향상
2. Java Record를 사용하여 간결하고 불변 객체로 설계
3. @notblank 어노테이션으로 유효성 검증 추가
4. 적절한 오류 메시지 제공

이 DTO는 서비스 계층에서 리프레시 토큰을 명확하게 처리할 수 있도록 해줍니다. 좋은 설계입니다!

src/main/java/com/example/solidconnection/auth/domain/TokenType.java (2)

8-9: 토큰 만료 시간 타입 및 값 변경

다음과 같은 변경사항이 있습니다:

1. ACCESS 토큰 만료 시간 계산에 long 타입 리터럴 사용 (1000L)
2. REFRESH 토큰 만료 시간이 7일에서 90일로 크게 증가

리프레시 토큰의 만료 시간을 90일로 늘린 것은 사용자 경험 측면에서 큰 변화입니다. 이로 인해 사용자가 로그인을 자주 해야 하는 불편함이 크게 줄어들 것입니다.

---

11-11: expireTime 필드 타입 변경

다음과 같은 변경사항이 있습니다:

1. expireTime 필드 타입을 int에서 long으로 변경
2. 생성자 파라미터 타입도 long으로 변경
3. SIGN_UP 토큰 시간 계산에 long 타입 리터럴 사용

long 타입을 사용함으로써 더 큰 시간 값(90일과 같은)을 안전하게 처리할 수 있게 되었습니다. int 타입의 최대값(약 21억 밀리초, 약 24.8일)을 초과하는 값을 다룰 때 발생할 수 있는 오버플로우 문제를 방지합니다.

Also applies to: 15-17

src/main/java/com/example/solidconnection/auth/service/AuthService.java (3)

4-7: 필요한 import 추가 및 변경

다음과 같은 변경사항이 있습니다:

1. ReissueRequest DTO import 추가
2. JwtProperties import 추가
3. Objects 유틸리티 import 추가
4. JwtUtils의 parseSubject 메소드 import 변경
5. JwtProperties 의존성 추가

이러한 변경은 리프레시 토큰 검증 로직에 필요한 의존성을 명확히 하고, 안전한 객체 비교를 위한 Objects.equals 사용을 가능하게 합니다.

Also applies to: 14-18, 25-25

---

46-50: 메소드 주석 개선

리프레시 토큰 재발급 로직의 변경사항을 명확히 반영하도록 주석이 업데이트되었습니다:

1. 이제 요청된 리프레시 토큰과 저장된 토큰이 일치하는지 확인
2. 일치하지 않을 경우 예외 발생 명시

주석이 실제 구현 코드와 일치하게 되어 코드 이해도가 향상되었습니다.

---

51-58: 토큰 재발급 로직 개선

다음과 같은 중요한 개선사항이 있습니다:

1. 이제 ReissueRequest에서 리프레시 토큰을 명시적으로 추출
2. JwtUtils.parseSubject를 사용하여 토큰에서 subject 추출
3. 저장된 리프레시 토큰과 요청된 토큰이 정확히 일치하는지 확인
4. Objects.equals를 사용하여 null 안전 비교 구현

이전 구현에서는 파라미터가 'subject'로 명명되어 혼란을 야기했으나, 실제로는 액세스 토큰을 처리하고 있었습니다. 이제 코드가 명확해져 이해하기 쉽고 오류 가능성이 줄어들었습니다.

src/test/java/com/example/solidconnection/auth/service/AuthServiceTest.java (8)

1-24: 패키지 및 임포트 구성이 깔끔합니다!

테스트 클래스를 위한 필요한 임포트들을 잘 구성하셨습니다. JUnit 5의 기능들과 AssertJ 검증 라이브러리를 효과적으로 활용하는 것이 좋습니다.

---

25-40: 테스트 클래스 설정이 명확합니다!

1. @DisplayName을 한글로 사용하여 테스트의 목적을 명확히 표현했습니다.
2. @TestContainerSpringBootTest 커스텀 애노테이션을 사용하여 테스트 환경을 일관되게 설정하셨습니다.
3. 필요한 의존성들(AuthService, AuthTokenProvider, SiteUserRepository, JwtProperties)을 명확하게 주입하셨습니다.

---

41-51: 로그아웃 테스트가 간결하고 명확합니다!

1. 테스트 메소드명을 한글로 직관적으로 표현했습니다.
2. given-when-then 패턴을 사용하여 테스트 구조가 명확합니다.
3. 로그아웃 기능이 액세스 토큰을 블랙리스트에 제대로 추가하는지 검증합니다.

---

53-64: 탈퇴 테스트 구현이 적절합니다!

1. 사용자 탈퇴 기능을 테스트하는 메소드가 간결하게 구현되었습니다.
2. 탈퇴 시 quitedAt 필드가 내일 날짜로 설정되는지 확인하는 검증 로직이 명확합니다.
3. given-when-then 패턴으로 테스트 가독성이 좋습니다.

---

66-96: 토큰 재발급 테스트가 PR 목적에 맞게 잘 구현되었습니다!

1. @Nested 클래스를 사용하여 관련 테스트를 논리적으로 그룹화했습니다.
2. 성공 케이스:
   • 리프레시 토큰이 저장되어 있고 값이 일치할 때 액세스 토큰 재발급 검증
   • 재발급된 액세스 토큰의 subject가 리프레시 토큰의 subject와 일치하는지 확인
3. 실패 케이스:
   • 리프레시 토큰이 저장되어 있지 않을 때 예외 발생 검증
   • REFRESH_TOKEN_EXPIRED 에러 메시지 확인

PR 목적인 "토큰 재발급 로직 수정"에 맞게 테스트가 잘 구성되었습니다.

---

98-107: 유틸리티 메소드가 유용하게 구현되었습니다!

테스트에 필요한 SiteUser 객체를 생성하는 헬퍼 메소드가 코드 중복을 줄이고 테스트 가독성을 높여줍니다. 필요한 모든 필드를 포함하여 일관된 테스트 데이터를 제공합니다.

---

76-82: 토큰 재발급 로직의 핵심 검증 부분입니다!

이 부분은 PR에서 언급된 토큰 재발급 로직 수정의 핵심입니다. 재발급된 액세스 토큰의 subject가 리프레시 토큰의 subject와 일치하는지 확인하여 토큰이 너무 빨리 만료되는 문제를 해결하고 있습니다. 이전 코드에서는 이 부분에서 오류가 있었을 가능성이 높습니다.

---

1-108: 전체적인 테스트 구성이 훌륭합니다!

1. PR의 핵심 목적인 "토큰 재발급 로직 수정"에 대한 테스트가 잘 구현되었습니다.
2. 모든 테스트가 given-when-then 패턴을 따라 가독성이 좋습니다.
3. 한글 메소드명을 사용하여 테스트의 의도가 명확합니다.
4. 성공과 실패 케이스를 모두 테스트하여 코드 신뢰성을 높였습니다.

PR에서 제안한 향후 개선사항인 Token 클래스 도입도 좋은 아이디어로 보입니다. 현재 테스트에서도 토큰과 subject를 문자열로 처리하는 부분이 있는데, Token 클래스를 도입하면 타입 안전성이 향상되고 이와 같은 테스트 작성도 더 명확해질 것입니다.

[Gyuhyeok99]

고생하셨습니다!

[Gyuhyeok99]

사소하지만 ㅎㅎ.. 이 컨벤션이 늘 헷갈렸는데 제가 들어오기전 솔커 컨벤션에선 dto에서 어노테이션 쓸 때 한 칸 개행하고 썼더라구요! 나중에 개행한 거 다 없앨까요?

[nayonsoso]

아하 지금 어노테이션이 안붙어있는 값들은 개행이 안되어있고,
어노테이션이 붙어있는 것들만 시작 개행이 되어있는 상태군요 🫢

둘중에 어느것으로든 통일하면 좋겠는데.. 규혁님은 둘 다 개행 안한게 더 좋으신가요?
저는 둘 중 어느것으로 가도 큰 상관 없습니다!

[Gyuhyeok99]

읽는 측면에서 큰 차이는 없는 거 같아서 저도 큰 상관 없지만, 어노테이션 앞에 시작개행이 불필요한 빈 줄이라면 없애는 게 더 나은 거 같네요!

[nayonsoso]

그럼 시작 개행 안하도록 통일하는게 좋겠네요 ㅎㅎ