문제 개요현재 저희 서비스에서는 카카오 로그인 시, `닉네임`은 필수 항목, `프로필 사진`은 선택 항목으로 설정되어 있습니다. 그런데 로그아웃 후 다시 로그인을 진행하면, 다음과 같이 `프로필 사진`이 필수 항목으로 바뀌어 사용자에게 강제로 선택하도록 요구되는 문제가 발생합니다. 원인과 해결 방법이는 OAuth2 로그인 설정 파일(`.yml`)의 `scope` 옵션 설정 때문이었는데, 처음에는 `scope` 항목이 단순히 사용자 정보 요청을 위해 필요한 설정으로만 생각하여 잘못 사용했습니다.하지만 공식 문서를 확인해 보면, `scope` 옵션은 `추가 항목 동의 받기` 요청 시 사용한다고 되어있습니다. 즉, 해당 옵션에 설정된 항목이 있으면 로그인할 때마다 사용자 동의를 다시 유도하는 것이었습니다. 잘..

문제 개요프로젝트 빌드 시, 지속적으로 발생하는 경고 메시지의 원인을 확인한 결과, 기존에 사용하던 `org.springframework.cloud:spring-cloud-starter-aws` 라이브러리가 보안 취약점으로 인해 2021년 2월 이후 Maven Repository에서 더 이상 업데이트를 지원을 하지 않는다는 사실을 알게 되었습니다.`build.gradle`에서는 아래와 같이 의존성에 취약점이 있다는 경고 메시지가 나타납니다. 해결 방법라이브러리 변경해당 문제를 해결하기 위해 `org.springframework.cloud:spring-cloud-starter-aws` 대신 `io.awspring.cloud:spring-cloud-aws-starter-s3:3.0.0` 라이브러리로 변경했습..

개요기존 회원 탈퇴 방식은 단순히 데이터베이스에서 회원 정보를 삭제하는 간단한 방법만을 사용하고 있었습니다. 하지만 보다 확실한 탈퇴 진행을 위해, 소셜 로그인 제공자(`Google`, `Kakao`)와의 계정 연결 해제 기능을 추가했습니다. 계정 연결 해제 요청Google Google Developers - revoke 에서 연결 해제 방법을 확인할 수 있습니다. ​Kakao Kakao Developers - unlink 에서 연결 해제 방법을 확인할 수 있습니다.Access 토큰 또는 앱 어드민 키(`Admin key`)로 연결 해제 API를 호출할 수 있습니다. 연결 끊기 요청에 성공하면 해당 사용자 회원 번호를 응답으로 받고, 로그아웃이 함께 진행되어 Access 토큰과 Refresh 토큰이 만료..

개요현재, `Refresh` 토큰은 `MySQL 데이터베이스`에서 관리되지만, `Access` 토큰은 별도의 저장소 없이 클라이언트 `로컬 스토리지`에서만 관리되고 있습니다.문제점로그아웃 시, Access 토큰 처리 문제Refresh 토큰은 로그아웃 시 데이터베이스에서 삭제하기 때문에, 존재 여부로 유효한 토큰인지 검증할 수 있지만, Access 토큰은 클라이언트 측에서 삭제될 뿐, 만료 시간 전까지는 여전히 유효합니다.성능 문제만약 Access 토큰을 데이터베이스에 등록하여 블랙리스트로 관리한다 해도, 요청마다 데이터베이스를 조회해야 하므로 성능 문제가 발생할 수 있습니다.토큰 만료 시간 관리 문제토큰이 만료되면 데이터베이스에서도 삭제해 줘야 하는데, 이를 위해 별도의 스케줄러가 필요합니다.성능과 토큰..

개요현재 `Access` 토큰은 `로컬 스토리지`에, `Refresh` 토큰은 `쿠키`에 저장하고 있습니다. 이 구조에서 발생할 수 있는 `XSS` 및 `CSRF` 공격에 의한 피해를 최소화하기 위한 방법을 고민하고, 적용해 보았습니다. 참고) XSS와 CSRF 공격XSS (Cross-Site Scripting) 공격악성 스크립트를 이용해 로컬 스토리지에서 토큰을 탈취하는 공격입니다.이를 방어하기 위해 `Http-Only` 쿠키를 사용하는 것이 효과적입니다.Http-Only 쿠키는 스크립트의 접근을 차단합니다.CSRF (Cross-Site Request Forgery) 공격공격자가 인증된 사용자를 유도하여 사용자가 의도하지 않은 요청을 서버에 보내도록 만드는 공격입니다.로컬 스토리지에 저장된 토큰은 클라..

문제 개요현재, 인증이 필요한 URL 목록은 `AuthFilter`와 `SecurityConfig`에서 사용되고 있습니다.AuthFilter에서는 어떤 요청이 들어올 때, 인증이 필요한 경우 Access 토큰을 검증합니다. 이때, 인증이 필요한 URL 목록을 통해 필터링하지 않으면, 인증이 필요 없는 요청까지 Access 토큰을 검증하여 인증 에러가 발생할 수 있습니다. 이를 해결하기 위해 다음 메서드를 통해 URL 통과 여부를 결정합니다.@Overrideprotected boolean shouldNotFilter(HttpServletRequest request) throws ServletException { return super.shouldNotFilter(request);} SecurityC..