[SIX-256] feat : Refresh Token Rotation 기능 구현 #111

legowww · 2023-11-25T06:49:36Z

🖊️ 1. Changes

리프레시 토큰 재발급을 위해 사용되는 AuthController API @GetMapping("/reissue-token") 추가
AuthService -> TokenService 네이밍 변경
TokenService.rotation() 메서드에서 토큰 재발급 판단

🖼️ 2. Screenshot

❗️ 3. Issues

RTR

정상적인 경우

공격자가 토큰을 탈취한 경우

REF

https://pragmaticwebsecurity.com/articles/oauthoidc/refresh-token-protection-implications.html#:~:text=Protecting%20your%20refresh%20tokens

😌 4. To Reviewer

사용자에게 전송해주는 리프레시 토큰은 UUID 형태로 사용합니다
전송받은 UUID를 KEY 값으로 레디스에서 불러오는 VALUE 는 deserialize 하여 RefreshToken이라는 클래스로 사용하고 있습니다.

RTR 기법에서는 리프레시 토큰은 재발급을 위해 한 번만 사용될 수 있습니다.
chainedToken 은 처음 발급됐을 때는 NONE 값을 가지지만, 해당 리프레시 토큰이 새로운 리프레시 토큰 발급을 위해 사용되는 순간chainedToken 에는 새로 발급된 리프레시 토큰의 UUID가 저장됩니다. 이렇게 체인을 거는것을 token chain 이라고 하는데 키워드로 검색해보시면 좋을 것 같습니다. 현재 구현 수준에서는 하나의 체인만 가지도록 하였습니다.

전체적인 코드 이해를 돕기위해 작동과정만 간단하게 적었습니다.

정상적인 상황

리프레시 토큰 재발급을 위해 RT1 이 서버에 전송됨
서버는 RT1 를 KEY 로 레디스에 검색하여 VALUE 를 가져옴
VALUE 의 chainedToken값이 NONE이라면 새로운 AT2, RT2 를 발급하여 클라이언트에게 응답하고 RT1 에 해당하는 VALUE 의 chainedToken 값을 RT2 로 변경하여 레디스에 저장

동일한 리프레시 토큰 재전송

리프레시 토큰 재발급을 위해 RT1 이 서버에 전송됨
서버는 RT1 를 KEY 로 레디스에 검색하여 VALUE 를 가져옴
VALUE 의 chainedToken값이 NONE이 아닌 RT2 이기 때문에 해당 리프레시 토큰은 이미 재발급에 사용됐음을 알 수 있음
RT1이 공격자에게 탈취됐다고 판단하여, RT1을 통해 발급받은 RT2 를 레디스에서 제거하여 더이상 사용할 수 없게 만듦
1. RT2 를 발급받았던 사용자가 정상적인 유저일 경우: 토큰이 취소됐지만, 로그인을 통해 재발급 받으면 문제 없음
2. RT2 를 발급받았던 사용자가 공격자일 경우: 아이디 비밀번호를 모르기 때문에 더이상의 재발급은 불가능

✅ 5. Plans

- 블랙리스트 기법 추가

🙌 6. Checklist

- 통합 테스트를 수행해보셨나요?
- 혹시 컨벤션에 맞지 않게 작성하지 않았나요?
- Change와 Issue, Reviewer를 알아보기 쉽게 작성하였나요?

github-actions · 2023-11-25T06:52:15Z

Test Results

  56 files   56 suites 8s ⏱️
218 tests 216 ✔️ 2 💤 0 ❌
228 runs 226 ✔️ 2 💤 0 ❌

Results for commit 74cf3b1.

sonarqubecloud · 2023-11-25T06:53:09Z

Kudos, SonarCloud Quality Gate passed!

6 Bugs
0 Vulnerabilities
1 Security Hotspot
65 Code Smells

62.4% Coverage
0.0% Duplication

bombo-dev · 2023-11-25T10:05:14Z

onedayhero-api/src/main/java/com/sixheroes/onedayheroapi/auth/AuthController.java

+        var refreshTokenValue = tokenService.findRefreshTokenValue(refreshToken);
+
+        if (refreshTokenValue.isEmpty()) {
+            removeCookie(response);


이 부분을 인터셉터로 빼보는 건 어떨까요!?

오 저 부분때문에 코드 가독성이 떨어지는 것 아닐까 생각했었는데 좋은 아이디어 감사합니다~
리팩토링할 때 수정해보겠습니다!

bombo-dev

위에 참고해보시라고 했던 chainToken 은 한 번 살펴보도록 하겠습니다! 👍

heenahan

👍

[SIX-256] feat : Refresh Token Rotation 기능 구현

74cf3b1

legowww requested review from bombo-dev and heenahan November 25, 2023 06:49

legowww self-assigned this Nov 25, 2023

legowww added the 백엔드 label Nov 25, 2023

bombo-dev reviewed Nov 25, 2023

View reviewed changes

bombo-dev approved these changes Nov 25, 2023

View reviewed changes

heenahan approved these changes Nov 26, 2023

View reviewed changes

legowww merged commit 87df5de into develop Nov 26, 2023
5 checks passed

legowww deleted the SIX-255 branch November 26, 2023 15:09

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[SIX-256] feat : Refresh Token Rotation 기능 구현 #111

[SIX-256] feat : Refresh Token Rotation 기능 구현 #111

legowww commented Nov 25, 2023 •

edited

Loading

github-actions bot commented Nov 25, 2023

sonarqubecloud bot commented Nov 25, 2023

bombo-dev Nov 25, 2023

legowww Nov 26, 2023

bombo-dev left a comment

heenahan left a comment

[SIX-256] feat : Refresh Token Rotation 기능 구현 #111

[SIX-256] feat : Refresh Token Rotation 기능 구현 #111

Conversation

legowww commented Nov 25, 2023 • edited Loading

🖊️ 1. Changes

🖼️ 2. Screenshot

❗️ 3. Issues

RTR

😌 4. To Reviewer

정상적인 상황

동일한 리프레시 토큰 재전송

✅ 5. Plans

🙌 6. Checklist

github-actions bot commented Nov 25, 2023

Test Results

sonarqubecloud bot commented Nov 25, 2023

bombo-dev Nov 25, 2023

Choose a reason for hiding this comment

legowww Nov 26, 2023

Choose a reason for hiding this comment

bombo-dev left a comment

Choose a reason for hiding this comment

heenahan left a comment

Choose a reason for hiding this comment

legowww commented Nov 25, 2023 •

edited

Loading