AuthorityCheck

Info

• spring-security 사용.
• JWT 사용.
  • Authorization: Bearer ~
• 비밀번호 암호화는 BCryptPasswordEncoder 사용.
• formLogin disable.
• security logout disable.

JWT Provider

Token 정보는 user의 SEQ 값을 담고 있음.

AccessToken

• 만료 시간: 15일 (테스트를 위해 임시 세팅)
• AccessToken은 만료되지 않는 한 BE에서 바로 해독하여 사용.
• responseHeader의 token_status에 따라 현재 AccessToken의 상태 확인 가능.

status	description
ALLOW	허용
NOT_ALLOW	비허용
EXPIRED	만료(허용 가능한 token이지만 유효 시간이 지나, 재발급 필요)

RefreshToken

• 만료 시간: 30일
• RefreshToken은 Redis에 저장/삭제 관리를 하며, 유효 시간도 Redis 정책을 따름 (life cycle을 BE에서 온전히 관리하기 위함.)

Process

1. AccessToken → SEQ 해독.
2. 로깅 추적을 위해 SEQ를 MDC에 저장.
3. SEQ로 유저 정보 조회. (redis or DB)
4. SecurityContextHolder.Context.authentication.details에 user 정보 저장.

Code

private fun allow(accessToken: String) {  
    val id = jwtTokenProvider.parseIdFromJWT(accessToken)  
    MDC.put("userId", id.toString())  
    setUser(id)  
}

Authorization Usage

• 인증된 user 정보를 꺼내려면, SecurityContextHolder.getContext().authentication.details as User을 사용.

• Service Layer에서 필요 시, TopLevelFunction.kt에 등록된 fun user() = userMapper.toMember(SecurityContextHolder.getContext().authentication.details as User) function을 사용하면 손쉽게 가져올 수 있음.