AuthController.java

역할

• 클라이언트 요청 처리 (로그인, 로그아웃, 토큰 갱신)
• 서비스에서 발생한 예외는 글로벌 핸들러가 처리하도록 설계

1. 로그인 API (/login)

    // 로그인
    @PostMapping("/login")
    public ResponseEntity<?> login(@Valid @RequestBody LoginRequest request, HttpServletResponse res) {
        // 로그인 수행 후 access + refresh 토큰 발급
        Tokens tokens = authService.login(request.email(), request.password());

        // refreshToken 쿠키 저장 (HttpOnly + Secure + SameSite 필요)
        CookieUtil.addHttpOnlyCookie(res, "refreshToken", tokens.refreshToken(), 10080);

        // accessToken 반환
        return ResponseEntity.ok(Map.of("accessToken", tokens.accessToken()));
    }

설명:

• 이메일/비밀번호 검증 후 로그인 성공 → accessToken 반환, refreshToken 쿠키 저장
• refreshToken은 HttpOnly 쿠키로 설정 → JS 접근 불가, XSS 공격 방어
• 실패 시 ApiException 발생 → 글로벌 핸들러에서 상태 코드 + 메시지 처리
• 서비스는 DB에 refreshToken 저장 → Single Session 정책 가능

2. 토큰 갱신 API (/refresh)

    // 토큰 갱신
    @PostMapping("/refresh")
    public ResponseEntity<?> refresh(HttpServletRequest req, HttpServletResponse res) {

        // 요청 쿠키에서 refreshToken 읽기
        String refreshToken = CookieUtil.readCookie(req, "refreshToken");

        // 쿠키 자체가 없으면 = 비로그인 상태
        if (refreshToken == null) {
            // ApiException을 던져서 글로벌 핸들러에서 처리
            throw new ApiException(ErrorCode.UNAUTHORIZED);
        }

        // refreshToken 유효하면 회전된 access + refresh 발급
        Tokens tokens = authService.refresh(refreshToken);

        // 새 refresh 쿠키 재설정
        CookieUtil.addHttpOnlyCookie(res, "refreshToken", tokens.refreshToken(), 10080);

        // 새로운 accessToken 반환
        return ResponseEntity.ok(Map.of("accessToken", tokens.accessToken()));
    }

설명:

• 쿠키 refreshToken 존재 확인 → 없으면 401 Unauthorized
• 서비스에서 refreshToken 검증 + 새 accessToken/refreshToken 발급
• refreshToken은 쿠키 재설정 → 탈취 방지
• 실패 시 ApiException → 글로벌 핸들러 처리