HttpInterceptor를 사용하여 Angular에서 JWT 새로 고침 토큰 처리 해결

Temp mail SuperHeros
HttpInterceptor를 사용하여 Angular에서 JWT 새로 고침 토큰 처리 해결
HttpInterceptor를 사용하여 Angular에서 JWT 새로 고침 토큰 처리 해결
Daniel Marino
2024년 11월 16일 토요일 오전 12:24:33

Angular 인터셉터에서 원활한 JWT 새로 고침 보장

보안 사용자 세션이 있는 웹 앱에서는 단기 JWT 토큰을 효과적으로 관리하는 것이 중단 없는 사용자 경험을 위해 중요합니다. 토큰이 만료되면 사용자는 강제로 다시 로그인해야 하는 등의 문제에 직면하는 경우가 많으며, 이로 인해 사용자 참여가 좌절되고 중단될 수 있습니다. 이 문제를 해결하기 위해 개발자는 일반적으로 만료된 세션을 처리하는 Angular 인터셉터를 사용하여 자동 토큰 새로 고침을 구현합니다. 🕰️

이 접근 방식에는 HTTP 요청을 가로채고 401 오류(승인되지 않은 요청)를 포착한 다음 새로 고침 프로세스를 호출하여 새 토큰을 얻는 작업이 포함됩니다. 그러나 업데이트된 토큰이나 쿠키가 재시도된 요청에 적용되는지 확인하는 데 문제가 발생할 수 있습니다. 새 토큰이 올바르게 전파되지 않으면 재시도가 실패하여 사용자에게 동일한 인증 오류가 발생하고 잠재적으로 앱 워크플로가 중단될 수 있습니다.

이 가이드에서는 이 인터셉터 패턴의 실제 구현을 살펴보겠습니다. 오류를 포착하고, 토큰을 새로 고치고, 유효한 인증을 통해 요청이 재시도되는지 확인하는 방법을 살펴보겠습니다. 이 접근 방식은 세션 갱신 프로세스를 제어하는 ​​동시에 중단을 최소화합니다.

결국에는 HttpOnly 쿠키 처리 및 요청량이 많은 동안 새로 고침 시퀀스 관리와 같은 일반적인 문제를 해결하는 방법에 대한 통찰력을 얻게 됩니다. 이 방법을 사용하면 지속적인 로그인 없이 애플리케이션이 안전하고 원활한 사용자 세션을 유지할 수 있습니다. 🔒

명령 사용예
catchError HTTP 요청 중에 발생하는 오류를 포착하고 처리하기 위해 Observable 파이프라인 내에서 사용되며, 인터셉터가 특히 토큰을 새로 고치거나 승인되지 않은 요청을 처리하기 위해 401 오류를 가로챌 수 있도록 합니다.
switchMap 토큰이 새로 고쳐진 후 HTTP 재시도를 처리하기 위해 일반적으로 여기에서 사용되는 새로운 관찰 가능 항목으로 전환합니다. 스트림을 전환하여 이전 관찰 가능 항목을 대체하여 새 토큰으로 재시도된 요청만 처리되도록 합니다.
BehaviorSubject HTTP 요청 전반에 걸쳐 토큰 새로 고침 상태를 유지하는 데 사용되는 특수 RxJS 주제입니다. 일반 Subject와 달리 BehaviorSubject는 마지막으로 내보낸 값을 유지하므로 동시 401 오류를 처리하는 데 도움이 됩니다.
clone withCredentials: true와 같은 업데이트된 속성을 사용하여 HttpRequest 객체를 복제합니다. 이를 통해 원래 요청 구성을 유지하면서 요청과 함께 쿠키를 보낼 수 있습니다.
pipe Observable에서 여러 RxJS 연산자를 함께 연결합니다. 이 인터셉터에서 파이프는 토큰 새로 고침 후 오류 처리 및 재시도 논리를 구성하는 데 필수적입니다.
of 값에서 관찰 가능 항목을 생성하는 RxJS 유틸리티입니다. 테스트에서 of(true)는 RefreshToken의 성공적인 응답을 시뮬레이션하는 데 사용되어 인터셉터의 단위 테스트를 지원합니다.
HttpTestingController 테스트 환경에서 HTTP 요청을 가로채고 제어할 수 있는 Angular 테스트 모듈의 유틸리티입니다. 이는 응답을 시뮬레이션하고 요청이 인터셉터에 의해 올바르게 처리되었는지 확인하는 데 도움이 됩니다.
flush HttpTestingController와 함께 사용하여 테스트 내에서 HTTP 요청을 수동으로 완료하여 401 Unauthorized와 같은 응답을 시뮬레이션할 수 있습니다. 이렇게 하면 인터셉터의 새로 고침 논리가 예상대로 활성화됩니다.
getValue 여러 새로 고침 요청을 방지하면서 토큰 새로 고침 프로세스가 이미 진행 중인지 확인하기 위해 이 인터셉터에 필수적인 BehaviorSubject의 현재 값에 액세스합니다.

Angular 인터셉터를 사용하여 안정적인 JWT 인증 보장

위의 예에서 인터셉터는 401 오류가 발생할 때마다 단기 JWT 토큰을 자동으로 새로 고치도록 설계되었습니다. 이러한 종류의 설정은 세션 보안 유지가 중요하지만 사용자 경험이 중단되어서는 안 되는 민감한 데이터가 있는 애플리케이션에 필수적입니다. 인터셉터는 401(권한 없음) 오류를 포착하고 사용자에게 재인증을 요구하지 않고 세션을 갱신하기 위해 새로 고침 토큰 요청을 시작합니다. 이 프로세스는 관찰 가능한 파이프라인 내에서 오류 처리를 허용하는 catchError 함수에 의해 트리거됩니다. 여기서 HTTP 오류, 특히 401은 토큰이 만료되었을 가능성이 있음을 알리고 새로 고침 프로세스를 시작합니다.

switchMap 기능은 여기서 또 다른 핵심 요소입니다. 새로 고친 요청에 대해 새로운 관찰 가능 스트림을 생성하여 전체 흐름을 취소하지 않고 이전 관찰 가능 스트림을 대체합니다. 새로 고친 후 원래 요청을 다시 시도하여 새 토큰이 적용되는지 확인합니다. 이전 관찰 가능 항목에서 새 관찰 가능 항목으로 전환함으로써 인터셉터는 원활하고 차단되지 않는 방식으로 토큰 갱신을 수행할 수 있습니다. 이 기술은 보안 인증을 유지하면서 사용자 상호 작용의 중단을 줄이므로 실시간 애플리케이션으로 작업할 때 특히 유용합니다. 예를 들어, 보안 금융 대시보드를 탐색하는 사용자는 불필요하게 리디렉션되거나 로그아웃되지 않습니다. 대신 새 토큰이 획득되어 백그라운드에서 적용됩니다. 🔄

또한 BehaviorSubject는 새로 고침 프로세스의 상태를 관리하여 중요한 역할을 합니다. 이 RxJS 유틸리티는 마지막으로 내보낸 값을 유지할 수 있으며, 이는 여러 요청에서 동시에 401 오류가 발생할 때 특히 유용합니다. 여러 새로 고침을 트리거하는 대신 인터셉터는 하나의 토큰 새로 고침만 시작하고 다른 모든 요청은 이 단일 토큰 갱신을 기다리기 위해 대기열에 추가됩니다. SwitchMap과 함께 BehaviorSubject를 사용하면 하나의 요청이 새로 고침을 트리거하는 경우 새 토큰이 필요한 다른 모든 요청이 반복적인 새로 고침 호출을 발생시키지 않고 업데이트된 자격 증명을 사용하도록 할 수 있습니다. 이 기능은 사용자가 여러 개의 탭을 열어두거나 앱이 여러 개의 동시 네트워크 호출을 관리하여 리소스를 절약하고 과도한 서버 로드를 방지하는 경우 매우 유용합니다.

이 인터셉터 로직을 테스트하는 것은 다양한 시나리오에서 작동하는지 확인하는 데에도 필수적입니다. 이것이 바로 HttpTestingController를 포함하는 이유입니다. 이 Angular 테스트 도구를 사용하면 통제된 환경에서 401 Unauthorized 상태와 같은 HTTP 응답을 시뮬레이션하고 테스트할 수 있습니다. 개발자는 HttpTestingController에서 제공하는 메서드인 플러시를 사용하여 실제 오류 응답을 시뮬레이션하고 인터셉터가 예상대로 작동하는지 확인할 수 있습니다. 이 테스트 접근 방식을 통해 앱을 배포하기 전에 새로 고침 논리가 다양한 사례를 얼마나 잘 처리하는지 구체화할 수 있습니다. 이러한 방법을 사용하면 인터셉터는 세션을 안전하게 보존할 뿐만 아니라 앱을 탐색하는 사용자에게 보다 원활하고 안정적인 환경을 제공합니다. 👩‍💻

Angular를 사용하여 JWT 인터셉터 구현: 오류 처리 및 새로 고침 토큰 솔루션

오류 처리 및 세션 관리를 위해 모듈식 서비스 구조와 함께 Angular 사용

import { Injectable } from '@angular/core';
import { HttpEvent, HttpInterceptor, HttpHandler, HttpRequest, HttpErrorResponse } from '@angular/common/http';
import { catchError, switchMap } from 'rxjs/operators';
import { Observable, throwError, BehaviorSubject } from 'rxjs';
import { AuthService } from './auth.service';
import { Router } from '@angular/router';
@Injectable()
export class JwtInterceptor implements HttpInterceptor {
  private refreshTokenInProgress$ = new BehaviorSubject<boolean>(false);
  constructor(private authService: AuthService, private router: Router) {}
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({ withCredentials: true });
    return next.handle(req).pipe(
      catchError((error: HttpErrorResponse) => {
        if (error.status === 401) {
          return this.handle401Error(req, next);
        }
        return throwError(() => error);
      })
    );
  }
  private handle401Error(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    if (!this.refreshTokenInProgress$.getValue()) {
      this.refreshTokenInProgress$.next(true);
      return this.authService.refreshToken().pipe(
        switchMap(() => {
          this.refreshTokenInProgress$.next(false);
          return next.handle(req.clone({ withCredentials: true }));
        }),
        catchError((error) => {
          this.refreshTokenInProgress$.next(false);
          this.authService.logout();
          this.router.navigate(['/login'], { queryParams: { returnUrl: req.url } });
          return throwError(() => error);
        })
      );
    }
    return this.refreshTokenInProgress$.pipe(
      switchMap(() => next.handle(req.clone({ withCredentials: true })))
    );
  }
}

JWT 인터셉터 토큰 새로 고침 처리를 위한 각도 단위 테스트

Angular 인터셉터에서 JWT 새로 고침 및 HTTP 오류 처리 테스트

import { TestBed } from '@angular/core/testing';
import { HttpClientTestingModule, HttpTestingController } from '@angular/common/http/testing';
import { JwtInterceptor } from './jwt.interceptor';
import { HTTP_INTERCEPTORS, HttpClient } from '@angular/common/http';
import { AuthService } from './auth.service';
describe('JwtInterceptor', () => {
  let httpMock: HttpTestingController;
  let authServiceSpy: jasmine.SpyObj<AuthService>;
  let httpClient: HttpClient;
  beforeEach(() => {
    authServiceSpy = jasmine.createSpyObj('AuthService', ['refreshToken', 'logout']);
    TestBed.configureTestingModule({
      imports: [HttpClientTestingModule],
      providers: [
        JwtInterceptor,
        { provide: HTTP_INTERCEPTORS, useClass: JwtInterceptor, multi: true },
        { provide: AuthService, useValue: authServiceSpy }
      ]
    });
    httpMock = TestBed.inject(HttpTestingController);
    httpClient = TestBed.inject(HttpClient);
  });
  afterEach(() => {
    httpMock.verify();
  });
  it('should refresh token on 401 error and retry request', () => {
    authServiceSpy.refreshToken.and.returnValue(of(true));
    httpClient.get('/test').subscribe();
    const req = httpMock.expectOne('/test');
    req.flush(null, { status: 401, statusText: 'Unauthorized' });
    expect(authServiceSpy.refreshToken).toHaveBeenCalled();
  });
});

Angular 인터셉터로 JWT 토큰 새로 고침 전략 확장

Angular 사용의 중요한 측면 JWT 토큰 인터셉터 보안 애플리케이션을 위한 인증 및 세션 만료 관리의 복잡성을 효율적으로 처리합니다. 단순히 401 오류를 포착하고 토큰을 새로 고치는 것 외에도 다중 요청 처리 및 토큰 새로 고침을 최적화하는 방법에 대해 생각하는 것이 중요합니다. 여러 요청에서 동시에 401 오류가 발생하는 경우 대기열 또는 잠금 메커니즘을 구현하면 한 번에 하나의 토큰 새로 고침만 발생하도록 하는 데 매우 유용할 수 있습니다. 이 접근 방식은 불필요한 API 호출을 방지하고 특히 트래픽이 많은 애플리케이션에서 로드를 줄이는 동시에 대기열에 있는 모든 요청이 새로 고침 후에 진행되도록 허용합니다.

Angular의 인터셉터를 사용하면 토큰 저장 및 검색을 처리하는 방법을 간소화할 수도 있습니다. 로컬 저장소에 토큰을 하드코딩하는 것보다 Angular를 사용하는 것이 가장 좋습니다. HttpOnly 쿠키 보안을 강화하기 위한 CSRF 보호. HttpOnly 쿠키를 사용하면 JavaScript로 JWT에 액세스하거나 조작할 수 없으므로 보안이 크게 향상되지만 요청이 새로 고쳐진 쿠키를 자동으로 선택하도록 보장하는 새로운 과제가 추가됩니다. Angular에 내장되어 있는 withCredentials 옵션은 각 요청에 이러한 쿠키를 포함하도록 브라우저에 지시하는 솔루션입니다.

프로덕션 환경에서는 토큰 새로 고침을 통해 로드 시 애플리케이션이 어떻게 작동하는지에 대한 성능 테스트를 실행하는 것이 좋습니다. 테스트 설정에서는 높은 요청 볼륨을 시뮬레이션하여 인터셉터의 논리가 효율적으로 확장되도록 할 수 있습니다. 실제로 이 설정은 사용자 경험에 영향을 미치는 토큰 관련 오류의 위험을 최소화합니다. 적절한 쿠키 처리 및 테스트와 결합된 인터셉터 전략은 앱이 중요한 금융 데이터를 관리하든 소셜 플랫폼의 사용자 세션을 관리하든 상관없이 원활하고 사용자 친화적이며 안전한 애플리케이션을 유지하는 데 도움이 됩니다. 🌐🔐

Angular 인터셉터를 사용한 JWT 토큰 처리에 대한 일반적인 질문

  1. 어떻게 catchError JWT 토큰 처리에 도움이 되셨나요?
  2. 사용 catchError 인터셉터 내에서 401 오류를 식별하고 토큰이 만료될 때 토큰 새로 고침 요청을 원활하게 트리거할 수 있습니다.
  3. 왜? BehaviorSubject 대신에 사용 Subject 새로 고침 상태를 추적하려면?
  4. BehaviorSubject 마지막으로 내보낸 값을 유지하므로 여러 새로 고침 호출을 트리거하지 않고도 동시 요청 전체에서 새로 고침 상태를 관리하는 데 유용합니다.
  5. 어떤 역할을 하는가 switchMap HTTP 요청을 재시도하려고 하시나요?
  6. switchMap 관찰 가능한 토큰 새로 고침에서 재시도된 HTTP 요청으로 전환하여 최신 관찰 가능한 항목만 완료되도록 보장합니다.
  7. Angular에서 인터셉터를 어떻게 테스트할 수 있나요?
  8. Angular의 HttpTestingController 401 오류를 포함한 HTTP 응답을 시뮬레이션하여 인터셉터 논리가 올바르게 작동하는지 확인하는 데 유용합니다.
  9. 왜 사용합니까? withCredentials 복제된 요청에서?
  10. 그만큼 withCredentials 플래그는 보안 세션을 유지하는 데 중요한 보안 HttpOnly 쿠키가 각 요청에 포함되도록 보장합니다.
  11. 트래픽이 많은 상황에서 토큰 새로 고침 처리를 최적화하려면 어떻게 해야 합니까?
  12. 단일 사용 BehaviorSubject 또는 잠금 메커니즘을 사용하면 여러 새로 고침 요청을 방지하여 트래픽이 많은 시나리오에서 성능을 향상시킬 수 있습니다.
  13. 인터셉터는 세션 만료 시 사용자 경험에 어떤 영향을 미치나요?
  14. 인터셉터는 자동 세션 갱신을 활성화하므로 사용자가 예기치 않게 로그아웃되는 일이 없어 보다 원활한 사용자 경험을 제공합니다.
  15. 어떻게 clone 요청 수정에 도움이 되셨나요?
  16. clone 설정과 같은 수정된 속성을 사용하여 요청 복사본을 생성합니다. withCredentials, 원래 요청을 변경하지 않고.
  17. 인터셉터가 여러 사용자 세션에서 작동합니까?
  18. 예, 하지만 각 세션은 JWT를 독립적으로 관리해야 합니다. 그렇지 않으면 새로 고침 논리가 여러 세션에 맞게 조정되어야 합니다.
  19. 인터셉터가 401이 아닌 오류를 처리할 수 있나요?
  20. 예, 인터셉터를 확장하여 403 Forbidden과 같은 다른 오류를 포착하고 더 나은 UX를 위해 적절하게 처리할 수 있습니다.

Angular 애플리케이션에서 JWT 토큰 새로 고침 간소화

효과적인 JWT 토큰 관리는 Angular 애플리케이션의 사용자 경험과 보안을 모두 향상시키는 데 중요합니다. 401 오류를 포착하고 자동으로 토큰 새로 고침을 시작하는 인터셉터를 구현하면 강제 로그아웃을 방지하고 원활한 사용자 흐름을 제공할 수 있습니다. 또한 다음을 사용하여 새로 고치는 동안 동시 요청을 처리합니다. 행동 주제, 새로 고침 호출이 하나만 이루어지도록 보장하여 리소스 사용을 최적화합니다.

궁극적으로 목표는 보안과 사용자 편의성 사이의 균형을 맞추는 것입니다. 실제 시나리오에 맞게 인터셉터 논리를 정기적으로 테스트하고 개선하면 앱이 문제 없이 대량의 요청을 처리할 수 있습니다. 토큰 관리에 모범 사례를 채택하면 세션 전체에서 안전하고 사용자 친화적인 환경을 유지하는 데 도움이 될 수 있습니다. 👨‍💻

JWT 인터셉터 구현에 대한 참조 및 리소스
  1. Angular에서 HTTP 인터셉터 생성에 대한 자세한 내용은 공식 Angular 문서에서 확인할 수 있습니다. 각도 HTTP 가이드 .
  2. JWT 토큰 새로 고침 메커니즘 및 모범 사례 관리에 대한 통찰력은 다음을 참조하세요. Auth0의 새로 고침 토큰 가이드 .
  3. RxJS 라이브러리는 다음을 포함하여 이 기사에 사용된 연산자에 대한 광범위한 세부 정보를 제공합니다. 스위치맵 그리고 오류 잡기: RxJS 운영자 가이드 .
  4. Angular 테스트 전략의 경우 HttpTestingController, Angular의 테스트 유틸리티에 대한 리소스를 확인하세요. Angular HTTP 테스트 가이드 .