[싹틔움] 10/29 개발일지 회원 검증 로직을 매 요청에 추가를 해야하는지에 대한 고민 : 블랙리스트와 리프레시토큰

📚 [배경] 

userService.findUser(userId);

 

한 사용자가 로그인에 성공한 후에 토큰을 발급받은 상태에서 회원탈퇴를 한 후 해당 토큰을 가지고 남은 유효기간동안 다른 서비스에 접근하는 것을 방지하기 위해서는 매 서비스 시작 부분에 userService.findUser(userId) 코드를 추가해서 데이터베이스에 접근해 회원을 확인을 하는 과정이 필요했습니다.

 

하지만 해당 로직이 userId 를 통해서 user 객체를 가져와서 그 user 데이터를 다루는 로직이 아니라 단순히 조회만을 위함이라면,

메서드의 주요 목적과는 다른 코드이고, 항상 데이터 베이스 접근을 요구하기 때문에 이를 고민해볼 필요가 있었습니다.

---

🌱 [요구사항]

 

회원 탈퇴 후에도 기존에 발급된 토큰이 남아 있을 경우, 이 토큰을 사용해 회원이 서비스에 접근하지 못하도록 차단하고, 동시에 불필요한 데이터베이스 접근을 줄여 성능을 개선할 수 있는 방법이 필요합니다. 

 

💡 [선택지]

 

1. 현재처럼 매 요청마다 `userService.findUser(userId)` 를 호출해 탈퇴 여부를 확인하는 방법입니다.

하지만 이 방식은 매번 데이터베이스를 접근하기 때문에 성능적으로 손해가 있을 수 있습니다.

 

2. 토큰 블랙리스트를 사용하는 방법입니다.

회원탈퇴시 해당 토큰을 Redis 와 같은 스토리지에 저장시켜서 토큰을 가지고 서비스에 접근할 때 해당 토큰이 블랙리스트에 들어가있는지 확인을 하는 과정을 거치는 것입니다. 하지만 이는 사실 JWT 의 서버에 상태를 저장하지 않고도 인증할 수 있는 무상태 방식의 이점을 약화시킵니다.

 

3. `refresh Token` 을 이용해서 `access Token` 의 유효시간을 최소한으로 줄이고 그 짧은 시간동안의 사용자의 접근에 대해서는 타협을 보는 방법입니다. 

---

💡 [실제 사례 조사]

🌱 Google

방법: OAuth 2.0 및 OpenID Connect

• 토큰 구조: Google은 OAuth 2.0을 사용하여 사용자 인증을 처리합니다. 사용자가 로그인하면 액세스 토큰과 리프레시 토큰이 발급됩니다.
• 유효 기간: 액세스 토큰은 보통 1시간 동안 유효하며, 리프레시 토큰은 사용자가 명시적으로 로그아웃하거나 계정을 삭제할 때까지 유효합니다.
• 회원 탈퇴 처리:
  • 사용자가 계정을 삭제하면, Google은 해당 계정과 연결된 모든 액세스 토큰을 무효화합니다. 이 과정에서 Google은 내부적으로 상태를 관리하여, 탈퇴된 계정에 대한 모든 세션 정보를 제거합니다.
  • 사용자 계정이 삭제되면, 해당 사용자로부터의 모든 요청은 "권한이 없음" 에러(HTTP 401)를 반환하게 됩니다. 이는 사용자가 더 이상 서비스에 접근할 수 없도록 하는 조치입니다.
• 비즈니스 영향: 이러한 방식은 사용자의 개인 정보 보호와 보안을 극대화하며, 사용자가 원하지 않는 상황에서의 데이터 접근을 방지합니다. 예를 들어, 사용자가 Google 계정을 삭제한 후에는 그 계정으로 Google Drive에 저장된 파일이나 Gmail을 사용할 수 없게 됩니다.

 

🌱구글의 회원 탈퇴 처리 방법

1. 사용자 탈퇴 요청

• 사용자 인터페이스: 구글 계정 설정에서 사용자는 "내 계정" 페이지를 통해 계정을 삭제할 수 있는 옵션을 찾을 수 있습니다. 이 과정에서 사용자는 계정 삭제의 결과와 그로 인한 영향에 대한 경고 메시지를 받습니다.

2. 계정 삭제 과정

• 인증 과정: 사용자가 계정을 삭제하기로 결정하면, 구글은 보안을 위해 추가적인 인증 과정을 요구합니다. 이는 비밀번호 입력이나 이중 인증 방법을 통해 이루어집니다.
• 삭제 프로세스 시작: 인증이 완료되면, 구글은 사용자의 계정과 관련된 모든 데이터를 삭제하는 프로세스를 시작합니다.

3. 토큰 무효화

• 액세스 토큰과 리프레시 토큰: 사용자가 계정을 삭제하면, 그 계정에 발급된 모든 액세스 토큰과 리프레시 토큰이 즉시 무효화됩니다. 이는 사용자가 더 이상 구글 API에 접근할 수 없도록 하기 위한 조치입니다.
• 세션 종료: 구글은 서버에서 사용자의 모든 세션을 종료시키고, 해당 사용자의 요청을 처리하는 모든 백엔드 서비스에서 더 이상 해당 사용자로부터의 요청을 허용하지 않도록 설정합니다.

4. 데이터 삭제 및 보관

• 데이터 삭제: 사용자의 계정과 관련된 모든 데이터(예: Gmail, Google Drive, Google Photos 등)는 삭제됩니다. 구글은 이 데이터를 영구적으로 삭제하기 위해 여러 단계를 거칩니다.
• 백업 및 보관: 구글의 데이터 삭제 정책에 따라, 사용자의 데이터는 일정 기간 동안 백업 시스템에 저장될 수 있습니다. 그러나 이 데이터는 계정 삭제 요청이 있은 후 특정 기간이 지나면 자동으로 완전히 삭제됩니다. 구글은 이 과정에서 데이터 보호 및 보안을 우선시합니다.

5. 사용자 상태 반영

• API 호출 차단: 계정 삭제 이후 사용자가 기존에 발급된 토큰을 사용하여 API를 호출하면, 구글은 해당 호출을 차단하고 "권한 없음" 또는 "사용자 없음" 에러를 반환합니다. 이는 더 이상 해당 계정이 유효하지 않음을 명확히 나타냅니다.
• 재사용 방지: 기존에 발급된 토큰이 사용자 상태를 반영하도록 설계되어, 삭제된 계정의 토큰은 어떠한 서비스에도 사용될 수 없습니다.

6. 사용자 안내

• 탈퇴 후 안내: 계정 삭제가 완료되면, 구글은 사용자에게 계정이 삭제되었음을 알리고, 데이터가 어떻게 처리되었는지에 대한 정보를 제공합니다. 이는 사용자에게 투명성을 제공하고, 사용자가 자신의 결정에 대해 확신을 가질 수 있도록 합니다.

결론

구글은 회원 탈퇴 처리 과정에서 사용자 데이터를 보호하고, 더 이상 서비스에 접근할 수 없도록 하는 조치를 취함으로써, 사용자에게 높은 수준의 보안을 제공합니다. 이 과정은 사용자의 권리를 존중하고, 데이터 보호 법규를 준수하는 방향으로 진행됩니다.

 

🌱구글의 토큰 사용과 블랙리스트

구글과 같은 대규모 서비스는 사용자 계정의 보안과 무결성을 유지하기 위해 JWT의 블랙리스트를 관리하는 방식을 사용합니다. 이는 JWT의 상태 비저장성(stateless)이라는 본래의 장점을 일부 희생하는 것이지만, 다음과 같은 이유로 필요합니다:

1. 사용자 보안 강화

• 즉각적인 비활성화: 사용자가 계정을 탈퇴하거나 보안 사고가 발생했을 때, 블랙리스트를 통해 즉시 해당 사용자의 모든 리프레시 토큰이나 액세스 토큰을 비활성화할 수 있습니다. 이를 통해 사용자 정보와 리소스를 보호할 수 있습니다.

2. 비정상적인 활동 대응

• 사용자 행동 모니터링: 비정상적인 활동이 감지되면, 특정 사용자의 세션이나 토큰을 블랙리스트에 추가하여 추가적인 피해를 예방할 수 있습니다. 예를 들어, 여러 기기에서의 의심스러운 로그인 시도가 있을 경우 해당 사용자의 인증 정보를 즉시 무효화하는 것이 가능합니다.

3. 서비스 무결성 유지

• 서비스 품질 보장: 블랙리스트를 통해 특정 사용자로부터의 비정상적인 요청이나 공격을 차단함으로써, 전체 서비스의 품질과 안정성을 유지할 수 있습니다. 이는 서비스에 대한 신뢰성을 높이는 데 기여합니다.

4. 법적 및 규제 준수

• 개인 정보 보호 법규 준수: 많은 국가에서 개인정보 보호법이 강화됨에 따라, 기업은 사용자 데이터를 안전하게 처리하고, 사용자가 원할 경우 해당 데이터를 삭제할 수 있는 기능을 제공해야 합니다. 블랙리스트를 사용하면 이러한 법적 요구 사항을 충족하는 데 도움이 됩니다.

---

💡 [채택]

분명 토큰 블랙리스트를 사용하는 것은 JWT 토큰의 무상태 이점을  줄인다.하지만 사용자 보호와 서비스 무결성을 유지하는 데 필수적이다.그러므로 토큰 블랙리스트와 적절한 액세스토큰, 리프레시 토큰 유효시간을 설정해 보안에 신경쓰는 것이 좋아보인다는 생각이 든다.