스포카 백엔드팀의 인증 방식 개선 여정: JWT의 한계 극복과 권한 관리 심층 분석

핵심 기술: 본 콘텐츠는 JWT(JSON Web Token) 인증 방식의 한계를 극복하고 권한 관리 기능을 효율적으로 구현하기 위한 스포카 백엔드팀의 실질적인 경험을 공유합니다. 특히 Refresh Token Rotation 기법을 통한 보안 강화와 레거시 버전 호환성 확보를 위한 아키텍처 개선 과정을 상세히 다룹니다.

기술적 세부사항:
* 인증 방식 개선 이유: 키친보드 매장 앱에 권한 관리 기능 추가 필요성 대두, 기존 JWT의 Stateless 특성으로 인한 권한 변경 시 실시간 적용 불가 문제.
* JWT의 장단점: 확장성 및 서버 부하 감소 장점 vs. 토큰 제어 불가로 인한 보안 취약점(탈취 시 악용 가능성).
* Access Token & Refresh Token 활용: 짧은 Access Token 만료 시간으로 보안 강화 및 Refresh Token으로 사용자 편의성 유지.
* Refresh Token Rotation: Refresh Token 탈취 위험 감소를 위한 기법 소개 (갱신 시 새 Refresh Token 발급, 기존 토큰 무효화).
* 클라이언트 호환성 확보: 모바일 환경에서의 네트워크 불안정성으로 인한 Refresh Token 재요청 문제 해결 방안.
* JJWT 라이브러리 버전 업그레이드 및 호환성: 신규 서명 알고리즘(PS256) 도입 및 JJWT 버전 충돌 문제 해결 (Jitpack 활용, LegacyJwtProcessor와 JwtProcessor 분리).
* 아키텍처 개선: 과거 버전 앱과의 호환성을 위한 인증 로직 변경 (두 버전의 Access Token 동시 수용).
* 코드 응집도 향상 전략: Composite 패턴 및 TokenManager 클래스 도입을 통한 유지보수성 및 확장성 증대.
* 권한 관리 구현: Spring Security와 @Secured 어노테이션 활용 방안 및 한계점, @PreAuthorize와 커스텀 헬퍼 클래스를 이용한 유연한 권한 제어 방식.

개발 임팩트: 성공적인 권한 관리 기능 구현과 더불어, JWT 기반 인증 시스템의 보안 강화 및 안정성 확보 방안을 제시합니다. 또한, 레거시 시스템과의 호환성을 유지하면서 최신 기술을 도입하는 실질적인 아키텍처 설계 원칙과 패턴 적용 사례를 공유하여 개발 생산성과 코드 품질 향상에 기여합니다.

커뮤니티 반응: 글에서는 명시적인 외부 커뮤니티 반응은 언급되지 않았으나, 내용 자체로 개발자들이 겪을 만한 현실적인 문제점과 해결 방안을 제시하고 있어 높은 공감대를 형성할 것으로 예상됩니다.