소셜 로그인 회원 탈퇴 구현

개요

기존 회원 탈퇴 방식은 단순히 데이터베이스에서 회원 정보를 삭제하는 간단한 방법만을 사용하고 있었습니다. 하지만 보다 확실한 탈퇴 진행을 위해, 소셜 로그인 제공자(`Google`, `Kakao`)와의 계정 연결 해제 기능을 추가했습니다.

 

계정 연결 해제 요청

Google 

Google Developers - revoke 에서 연결 해제 방법을 확인할 수 있습니다.

 

​Kakao 

Kakao Developers - unlink 에서 연결 해제 방법을 확인할 수 있습니다.

Access 토큰 또는 앱 어드민 키(`Admin key`)로 연결 해제 API를 호출할 수 있습니다. 연결 끊기 요청에 성공하면 해당 사용자 회원 번호를 응답으로 받고, 로그아웃이 함께 진행되어 Access 토큰과 Refresh 토큰이 만료 처리됩니다.

 

1️⃣어드민 키 사용

`Admin key`를 사용하는 REST API 요청은 반드시 서버에서만 수행해야 하며, 소스 코드에 노출되지 않도록 주의해야 합니다. 또한, `Admin key`를 사용해 연결 해제 요청 시, 대상 사용자를 명시하는 파라미터를 함께 보내야 합니다.

 

2️⃣토큰 사용

`Google`에서는 `Admin key` 사용 방식이 없으므로, 일관성을 위해, 토큰을 사용하는 방식으로 계정 연결 해제 API 호출 방식을 통일했습니다.

 

토큰 갱신 요청

Google

Google Developers - token 에서 Access 토큰 갱신 방법을 확인할 수 있습니다.

 

​Kakao

Kakao Developers - token 에서 토큰 갱신 방법을 확인할 수 있습니다.

`Kakao`에서는 `Google`과 달리 Refresh 토큰이 조건(유효 기간이 1개월 미만) 충족 시, Access 토큰과 함께 재발급이 될 수 있습니다. 하지만 저희 프로젝트에서는 해당 Refresh 토큰 기간을 2주로 설정했기에, 이러한 조건을 고려하지 않아도 됩니다. (2주로 설정한 이유는 아래에서 다시 언급하겠습니다.)

 

Spring Cloud OpenFeign

앞서 언급한 소셜 로그인 제공자(`Kakao`, `Google`)의 API를 호출하여 계정 연결 해제를 처리하기 위해 `Spring Cloud OpenFeign`을 사용했습니다. OpenFeign은 선언형 HTTP 클라이언트로, REST API 호출 코드를 간결하고 유지보수 가능하게 작성할 수 있도록 해줍니다.

 

기본 설정

• 의존성 추가

dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:2023.0.1"
    }
}

dependencies {
    implementation 'org.springframework.cloud:spring-cloud-starter-openfeign'
}

 

• 기능 활성화

@EnableFeignClients
@SpringBootApplication
public class Application {

	  public static void main(String[] args) {
		    SpringApplication.run(Application.class, args);
	  }

}

 

API 호출 코드

🌐 Google

@FeignClient(name = "googleClient", url = "https://oauth2.googleapis.com")
public interface GoogleClient {

    // Refresh 토큰을 사용한 토큰 재발급 요청
    @PostMapping("/token")
    TokenResponse reissueToken(
            @RequestParam("grant_type") String grantType, // "refresh_token"으로 고정
            @RequestParam("client_id") String clientId,
            @RequestParam("refresh_token") String refreshToken,
            @RequestParam("client_secret") String clientSecret
    );

    // 연결 해제 요청
    // Refresh, Access 토큰 둘 다 사용 가능
    @PostMapping("/revoke")
    void unlink(@RequestParam("token") String accessToken);
}

 

🌐 Kakao

@FeignClient(name = "kakaoApiClient", url = "https://kapi.kakao.com")
public interface KakaoApiClient {

    // Access 토큰을 사용한 연결 해제 요청
    @PostMapping("/v1/user/unlink")
    UnlinkResponse unlink(@RequestHeader("Authorization") String accessToken);
}

@FeignClient(name = "kakaoAuthClient", url = "https://kauth.kakao.com")
public interface KakaoAuthClient {

    // Refresh 토큰을 사용한 토큰 재발급 요청
    @PostMapping("/oauth/token")
    TokenResponse reissueToken(
            @RequestParam("grant_type") String grantType, // "refresh_token"으로 고정
            @RequestParam("client_id") String clientId,
            @RequestParam("refresh_token") String refreshToken,
            @RequestParam("client_secret") String clientSecret
    );
}

 

Service로 통합

`Google`과 `Kakao`의 API 호출 로직을 하나의 Service로 통합하여, 각 소셜 로그인 제공자에 대한 `연결 해제`, `토큰 갱신`을 처리합니다.

@Slf4j
@RequiredArgsConstructor
@Service
public class SocialClientService {

    ...

    // Google 토큰 갱신 요청
    public TokenResponse reissueGoogleToken(String refreshToken) {
        return googleClient.reissueToken(
                GRANT_TYPE_REFRESH_TOKEN,
                googleClientId,
                refreshToken,
                googleClientSecret
        );
    }

    // Google 연결 해제 요청
    public void unlinkGoogle(String accessToken) {
        googleClient.unlink(accessToken);
        log.info("Google Unlink");
    }

    // Kakao 토큰 갱신 요청
    public TokenResponse reissueKakaoToken(String refreshToken) {
        return kakaoAuthClient.reissueToken(
                GRANT_TYPE_REFRESH_TOKEN,
                kakaoClientId,
                refreshToken,
                kakaoClientSecret
        );
    }

    // Kakao 연결 해제 요청
    public void unlinkKakao(String accessToken) {
        UnlinkResponse response = kakaoApiClient.unlink(accessToken);
        log.info("Kakao Unlink 회원번호 : {}", response.getId());
    }
}

 

OAuth2 인증 처리 방식 커스터마이징

OAuth2AuthorizedClientService 커스터마이징

`OAuth2AuthorizedClientService`의 기본 구현체는 `InMemoryOAuth2AuthorizedClientService`로, 인증 서버에서 발급받은 사용자 정보를 서버 메모리에 저장하고 관리하는데, 이는 다음과 같은 문제점을 가지고 있습니다.

• 한정된 메모리 리소스
  
  • 서버의 메모리 공간은 한정적입니다. 사용자 수가 증가하면, 메모리 부하가 발생할 수 있습니다. 
• 서버 확장성 문제
  • 서버를 확장할 경우, 각 서버는 독립적인 메모리 공간을 갖게 됩니다. 이로 인해 서버 간 인증 정보의 불일치가 발생할 수 있습니다.

현재 단계에서 이러한 문제들이 직접적인 고려 대상은 아니지만, 향후 시스템의 확장성과 `TTL(Time To Live)` 설정을 활용한 효율적인 토큰 관리를 위해 `Redis`를 통한 토큰 저장 방식을 선택했습니다.

@Override
public void saveAuthorizedClient(OAuth2AuthorizedClient authorizedClient, Authentication principal) {
    String loginId = principal.getName();
    OAuth2RefreshToken refreshToken = authorizedClient.getRefreshToken();
    OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

    // Refresh 토큰 저장
    String key = RedisTokenService.OAUTH2_REFRESH_TOKEN_KEY_PREFIX + loginId;
    redisTokenService.saveToken(
            key,
            refreshToken.getTokenValue(),
            Date.from(
                    LocalDateTime.now()
                            .plusWeeks(2)
                            .atZone(ZoneId.systemDefault())
                            .toInstant()
            )
    );

    // Access 토큰 저장
    key = RedisTokenService.OAUTH2_ACCESS_TOKEN_KEY_PREFIX + loginId;
    redisTokenService.saveToken(
            key,
            accessToken.getTokenValue(),
            Date.from(accessToken.getExpiresAt())
    );
}

 

💡 Refresh 토큰 유효 기간을 2주로 설정한 이유

소셜 로그인 제공자(`Google`, `Kakao`)가 제공하는 Refresh 토큰의 유효 기간은 최소 2개월 이상이지만, 재로그인 시 제공자가 새로운 Refresh 토큰을 다시 발급해 줍니다. 이를 고려해, 저희 서버에서 발급하는 Refresh 토큰(`JWT`)과 동일한 생명주기를 설정하는 것이 적절하다고 판단했습니다. 따라서 소셜 로그인 제공자의 Refresh 토큰 유효 기간도 동일하게 2주로 설정하였습니다.

 

OAuth2AuthorizationRequestResolver 커스터마이징

`Google`에서는 로그인을 통해 Refresh 토큰을 발급받으려면 추가적인 파라미터 설정이 필요합니다. 물론 Refresh 토큰 없이도 연결 해제 요청은 가능하지만, Access 토큰의 유효기간이 짧기 때문에, 연결 해제 요청 시, 토큰이 만료되어 사용자가 다시 로그인해야 하는 불편함이 발생할 수 있습니다.

이를 해결하기 위해, `OAuth2AuthorizationRequestResolver`를 커스마이징하여 소셜 로그인 제공자가 `Google`인 경우 필요한 파라미터를 동적으로 추가할 수 있도록 구현했습니다. 이를 통해 Refresh 토큰을 발급받아 인증 상태를 지속적으로 유지할 수 있도록 했습니다.

 

필요한 파라미터 설정

• access_type=offline
• prompt=consent
  • 항상 동의 화면을 표시하고, 명시적인 동의를 구해야 Refresh 토큰을 발급받을 수 있습니다.

@Override
public OAuth2AuthorizationRequest resolve(HttpServletRequest request) {
    return customizeAuthorizationRequest(defaultResolver.resolve(request));
}

@Override
public OAuth2AuthorizationRequest resolve(HttpServletRequest request, String clientRegistrationId) {
    return customizeAuthorizationRequest(defaultResolver.resolve(request, clientRegistrationId));
}

private OAuth2AuthorizationRequest customizeAuthorizationRequest(OAuth2AuthorizationRequest authorizationRequest) {
    if (authorizationRequest == null) {
        return null;
    }

    Object registrationId = authorizationRequest.getAttribute("registration_id");

    // Google일 때만 Refresh 토큰을 받기 위해, 파라미터 추가
    if (registrationId.equals("google")) {
        return OAuth2AuthorizationRequest.from(authorizationRequest)
                .additionalParameters(params -> {
                    params.put("prompt", "consent");
                    params.put("access_type", "offline");
                })
                .build();
    }

    // 다른 제공자는 그대로 반환
    return authorizationRequest;
}

 

회원 탈퇴 처리

@Transactional
public void deleteUserByLoginId(String loginId) {
    String refreshKey = RedisTokenService.OAUTH2_REFRESH_TOKEN_KEY_PREFIX + loginId;
    String accessKey = RedisTokenService.OAUTH2_ACCESS_TOKEN_KEY_PREFIX + loginId;
    String accessToken = redisTokenService.getToken(accessKey);

    String registrationId = loginId.split(PROVIDER_ID_DELIMITER)[0];
    if (registrationId.equals(KAKAO)) {
        // Access 토큰이 null이면 Refresh 토큰을 이용해 재발급
        if (accessToken == null) {
            TokenResponse tokenResponse = socialClientService.reissueKakaoToken(redisTokenService.getToken(refreshKey));

            // 회원 탈퇴를 위한 재발급이기 때문에, Redis에 저장하지 않음
            accessToken = tokenResponse.getAccess_token();
        }
        socialClientService.unlinkKakao(BEARER_PREFIX + accessToken);
    }
    if (registrationId.equals(GOOGLE)) {
        if (accessToken == null) {
            TokenResponse tokenResponse = socialClientService.reissueGoogleToken(redisTokenService.getToken(refreshKey));
            accessToken = tokenResponse.getAccess_token();
        }
        socialClientService.unlinkGoogle(accessToken);
    }

    // Refresh 토큰은 남아있기 때문에 삭제
    redisTokenService.deleteToken(refreshKey);

    // 유저의 isDeleted를 true로 변경
    User user = userRepository.findByLoginId(loginId)
            .orElseThrow(() -> new ApiException(USER_NOT_FOUND));
    user.delete();
}

1. 소셜 로그인 제공자별 토큰 처리
   • 소셜 로그인 제공자(`Google`, `Kakao`)에 따라 Redis에서 Access 토큰을 가져옵니다
   • Access 토큰이 만료되어 Redis에 존재하지 않는 경우, Refresh 토큰을 사용하여 새로운 Access 토큰을 발급받습니다.
2. 소셜 계정 연결 해제
   • 발급받은 Access 토큰을 사용해 소셜 로그인 제공자에게 계정 연결 해제를 요청합니다.
3. 토큰 정리
   • Redis에 남아있는 Refresh 토큰을 삭제합니다.
4. 사용자 데이터 처리 
   • MySQL 데이터베이스에서 해당 사용자의 `isDeleted` 필드를 `true`로 바꾸어, 삭제 상태로 변경합니다. 

 

회원 탈퇴 후, 다시 가입

회원 탈퇴 후 다시 로그인할 경우, 동일한 애플리케이션 내에서 `고유 ID`는 유지됩니다. 즉, 계정 연결을 해제하고 다시 연결해도 `고유 ID`는 바뀌지 않습니다. 따라서 회원 탈퇴 후 재 로그인 시, 기존 사용자 데이터를 그대로 사용하며 `nickname`과 `profileImage` 필드를 업데이트하고, `isDeleted` 상태를 `false`로 변경하는 방식으로 처리하였습니다.
(회원 탈퇴 시, 사용자가 작성했던 리뷰, 북마크 등과 같은 데이터 처리 방법과 다시 가입할 경우의 처리 방식은 추후에 추가로 논의할 예정입니다.)

@Transactional
public OAuth2User processOAuth2User(OAuth2Response oAuth2Response) {
    String uniqueProviderId = oAuth2Response.getProvider() + PROVIDER_ID_DELIMITER + oAuth2Response.getProviderId();
    String nickname = oAuth2Response.getNickname();
    String profileImage = oAuth2Response.getProfileImage();

    if (!userRepository.existsByLoginId(uniqueProviderId)) {
        userRepository.save(
                new User(
                        uniqueProviderId,
                        null,
                        nickname,
                        profileImage,
                        null,
                        null
                )
        );
        OAuth2UserDto oAuth2UserDto = new OAuth2UserDto(uniqueProviderId);
        return new OAuth2UserImpl(oAuth2UserDto);
    }

    User user = userRepository.findByLoginId(uniqueProviderId)
            .orElseThrow(() -> new ApiException(USER_NOT_FOUND));
    if (user.isDeleted()) {
        user.reactivate();
    }
    user.update(
            null,
            nickname,
            profileImage
    );

    OAuth2UserDto oAuth2UserDto = new OAuth2UserDto(uniqueProviderId);

    return new OAuth2UserImpl(oAuth2UserDto);
}

 

결과

회원 탈퇴 시, 데이터베이스에서의 삭제뿐만 아니라, 소셜 로그인 제공자 측에서도 계정 연결을 해제하여 보다 완성도 있는 회원 탈퇴 기능을 구현했습니다.

• Redis를 활용하여 소셜 로그인 제공자가 전달해 주는 토큰을 효율적으로 관리
• OpenFeign을 통한 REST API 요청
• OAuth2 인증 관련 인터페이스 커스텀 구현
• 고유 ID와 소프트 딜리트를 활용하여 회원 탈퇴 후 재가입 시, 사용자 데이터 유지

또한, 앞서 언급한 것처럼, 탈퇴 시 사용자와 연관된 데이터 처리 및 재가입 시의 처리에 대해서는 추가적으로 논의 후 구현할 계획입니다.

 

참고

https://developers.kakao.com/docs/latest/ko/kakaologin/rest-api

https://developers.google.com/identity/protocols/oauth2/web-server?hl=ko

https://mangkyu.tistory.com/278