JWT 기반 인증

• 이중 토큰 구조: Access Token (24시간) + Refresh Token (7일)
• HS256 서명 알고리즘으로 토큰 무결성 보장
• 멀티 테넌트 지원으로 조직별 독립적인 인증 관리
• 자동 토큰 갱신으로 끊김 없는 사용자 경험

// JWT 토큰 생성
public String createAccessToken(Long userId, Role role, String tenantId) {
    Map<String, Object> claims = new HashMap<>();
    claims.put("userId", userId);
    claims.put("role", role.name());
    claims.put("tenantId", tenantId);

    return Jwts.builder()
        .claims(claims)
        .signWith(getSigningKey(), Jwts.SIG.HS256)
        .compact();
}

계정 잠금 (로그인 시도 제한)

• 비밀번호 해싱: BCrypt를 통한 안전한 비밀번호 저장
• 이중 로그인 방지: Refresh Token Rotation으로 보안 강화
• 토큰 블랙리스트: 로그아웃 시 즉시 토큰 무효화
• 자동 토큰 정리: 만료된 토큰 자동 제거

// Refresh Token Rotation
public LoginResult refreshToken(String refreshToken) {
    Long userId = jwtTokenService.validateAndGetUserIdFromRefreshToken(refreshToken);

    // 새로운 토큰 쌍 생성
    String newAccessToken = jwtTokenService.createAccessToken(userId, userRole, null);
    String newRefreshToken = jwtTokenService.createRefreshToken(userId);

    // 기존 토큰을 새로운 것으로 교체
    saveOrUpdateRefreshToken(userId, newRefreshToken);

    return LoginResult.builder()
        .accessToken(newAccessToken)
        .refreshToken(newRefreshToken)
        .build();
}

권한 레벨 관리

• 역할 기반 접근 제어 (RBAC): USER, ADMIN 권한 체계
• 계층적 권한 구조: 높은 권한이 낮은 권한을 자동 포함
• 메서드 레벨 보안: @PreAuthorize 어노테이션으로 세밀한 권한 제어

// 권한 체계
public enum Role {
    USER("일반사용자"),
    ADMIN("관리자");

    public boolean hasPermission(Role requiredRole) {
        return this.ordinal() >= requiredRole.ordinal();
    }

    public boolean isAdmin() {
        return this.ordinal() >= ADMIN.ordinal();
    }
}

마지막 로그인 시간 추적

• 실시간 로그인 기록: 모든 로그인 시도 자동 기록
• 사용자 활동 모니터링: lastLoginAt 필드로 최근 활동 추적