✨ feat: jwt 블랙리스트 기능 추가 #498
Open
+105
−43
Conversation
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Jo-Minseok
approved these changes
Nov 27, 2025
| const isBlacklisted = await this.redisService.get(blacklistKey); | ||
|
|
||
| if (isBlacklisted) { | ||
| throw new UnauthorizedException('인증되지 않은 요청입니다.'); |
Member
There was a problem hiding this comment.
P5) refresh token도 지우게 cookie 설정해주는것도 좋을듯 합니다!
Member
Author
There was a problem hiding this comment.
그렇네요, RT를 안막아주면 재발급으로 바로 우회가 가능할 것 같아요.
추가 해두겠습니다 👍
| if (accessToken) { | ||
| await this.redisService.set( | ||
| `${REDIS_KEYS.USER_DELETE_ACCOUNT_KEY}:${token}`, | ||
| user.id.toString() + ':' + accessToken, |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
📋 작업 내용
JWT 블랙리스트 적용
현재 삭제된 사용자의 AT로 요청에 대한 핸들링이 되어있지 않다는 의견이 건의 되었습니다.
대부분의 경우 비즈니스 로직에서
userRepository.findOne({ where: { id: user.id } )를 수행하는 과정에서 막히겠지만, 개발자의 입장에서 이는 정상적인 흐름이 아니기에 매번 직접 예외 처리 하여 관리중이며, 잠재 위험이 유발되기 좋은 상황으로 보입니다.이에 회원탈퇴 시
USER_BLACKLIST_JWT_KEY형태의 키를 가지는 해시맵에 추가jwt.strategy.ts측에서 요청 들어온 AT가 블랙리스트에 존재하는지 매번 확인하여 요청을 허가해주는 형태로 수정하였습니다.
OAuth callback 인증 정보 전달 방식 수정
기존에는
${OAUTH_URL_PATH.BASE_URL}/oauth-success?token=${accessToken}를 사용해 OAuth 로그인을 통해 생성된 AT를 URL에 포함시켜 FE로 전달하였지만, 이는 여러가지 이유로 보안에 취약하다는 의견이 나와 AT 전달을 제거하였습니다.변경 후에는 RT만 httpOnly Cookie로 안전하게 전달 후, 클라이언트 측에서 인증이 필요한 API 요청 시 AT를 재발급 받아 사용하도록 처리하였습니다.
oauth.service.ts->oAuth.service.ts파일명 변경