기본 요구사항

JWT 컴포넌트 구현

• JWT 의존성을 추가하세요.
• 토큰을 발급, 갱신, 유효성 검사를 담당하는 컴포넌트(JwtTokenProvider)를 구현하세요.

리팩토링 - 로그인

미션 9와 마찬가지로 Spring Security의 formLogin + 미션 9의 인증 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

• 세션 생성 정책을 STATELESS로 변경하고, sessionConcurrency 설정을 삭제하세요.
• AuthenticationSuccessHandler 컴포넌트를 대체하세요.
  기존 구현체는 LoginSuccessHandler입니다.
• JwtLoginSuccessHandler를 정의하고 대체하세요.
• 인증 성공 시 JwtProvider를 활용해 토큰을 발급하세요.
• 엑세스 토큰은 응답 Body에 포함하세요.
• 리프레시 토큰은 쿠키(REFRESH_TOKEN)에 저장하세요.
• 200 JwtDto로 응답합니다.

JWT 인증 필터 구현

• 엑세스 토큰을 통해 인증하는 필터(JwtAuthenticationFilter)를 구현하세요.
• 요청 당 한번만 실행되도록 OncePerRequestFilter를 상속하세요.
• 요청 헤더(Authorization)에 Bearer 토큰이 포함된 경우에만 인증을 시도하세요.
• JwtProvider를 통해 엑세스 토큰의 유효성을 검사하세요.
• 유효한 토큰인 경우 UsernamePasswordAuthenticationToken 객체를 활용해 인증 완료 처리하세요.

리프레시 토큰을 활용한 엑세스 토큰 재발급

• 리프레시 토큰을 활용해 엑세스 토큰을 재발급하는 API를 구현하세요.
• permitAll 설정에 포함하세요.
• 리프레시 토큰 Rotation을 통해 보안을 강화하세요.
• 토큰 재발급 API로 대체할 수 있는 컴포넌트를 모두 삭제하세요

리팩토링 - 로그아웃

• 쿠키에 저장된 리프레시 토큰을 삭제하는 LogoutHandler를 구현하세요.
• 구현한 핸들러를 추가하세요.

심화 요구사항

리팩토링 - 토큰 상태 관리

• 토큰의 상태를 관리하는 JwtRegistry를 구현하세요.
• 로그인 성공 시 JwtInformation을 등록합니다.
• 최대 동시 로그인 수(1)를 제어합니다.
• invalidateJwtInformationByUserId: UserId로 해당 유저의 모든 JwtInformation 정보를 삭제합니다.
• hasActiveJwtInformationBy*: JwtInformation이 Registry에 존재하는지 확인합니다.
• rotateJwtInformation: 토큰 재발급 시 토큰 로테이션을 수행합니다.
• clearExpiredJwtInformation: 만료된 JwtInformation을 삭제합니다.
• InMemoryJwtRegistry 메모리에 JwtInformation을 저장하는 JwtRegistry 구현체입니다.
• JwtAuthenticationFilter에서 JwtRegistry를 활용해 토큰의 상태를 검사하는 로직을 추가하세요.
• JwtRegistry를 활용해 동시 로그인 제한 기능을 리팩토링하세요.
• 동일한 계정으로 로그인 시 기존 로그인 세션을 무효화합니다.
• JwtRegistry를 활용해 권한이 변경된 사용자가 로그인 상태라면 강제로 로그아웃되도록 하세요.
• JwtRegistry를 활용해 사용자의 로그인 여부를 판단하도록 리팩토링하세요.
• JwtLogoutHandler에서 JwtRegistry를 활용해 로그아웃 시 토큰을 무효화하세요.
• 주기적으로 만료된 토큰 정보를 레지스트리에서 삭제하세요.
• @EnableScheduling를 추가하세요.
• @scheduled를 활용해서 5분마다 만료된 토큰을 삭제하세요.