AuthRepository.java

역할

• AuthEntity 기반 DB 조회/수정/삭제 담당
• RefreshToken 관리 및 Single Session 정책 구현
• 동시성, 스케줄링, Upsert 등 DB 수준 처리

1. 토큰 조회

    // 토큰 검증 시 동시성 방지용
    // SELECT로 읽은 row를 지금 트랜잭션이 끝날 때까지
    // 다른 트랜잭션이 수정/삭제/잠금 못 하게 막는 역할
    // → Refresh 토큰 탈취 동시 재사용 방지
    @Lock(LockModeType.PESSIMISTIC_WRITE)
    Optional<AuthEntity> findByTokenHashAndRevokedAtIsNull(String tokenHash);

    // 특정 유저의 토큰 조회
    Optional<AuthEntity> findByUser(UserEntity user);

    // 아직 revoke 되지 않은 활성 토큰만 조회
    Optional<AuthEntity> findByUserAndRevokedAtIsNull(UserEntity user);

설명:

• findByTokenHashAndRevokedAtIsNull
  • RefreshToken 검증 시 사용
  • PESSIMISTIC_WRITE → 동시에 다른 트랜잭션이 수정 못함
  • 동시 재사용 공격 방지
• findByUserAndRevokedAtIsNull
  • Single Session 정책 적용 → 현재 활성 토큰만 조회

2. 토큰 폐기 (로그아웃 / 재사용 방지)

    // 한 사람당 리프래시 토큰 1개 정책
    // @Modifying: UPDATE / DELETE 실행 시 필수
    // JPQL UPDATE는 영속성 컨텍스트를 우회하고 DB를 직접 수정함
    // → 실행 후 영속성 컨텍스트와 DB 상태가 달라질 수 있음
    @Modifying
    @Query("""
        update AuthEntity a
           set a.revokedAt = :now
         where a.user = :user
           and a.revokedAt is null
    """)
    int revokeAllActiveByUser(@Param("user") UserEntity user,
                              @Param("now") LocalDateTime now);

설명:

• 한 유저의 모든 활성 refreshToken을 즉시 폐기
• Single Session 정책 구현
• DB 직접 UPDATE → 영속성 컨텍스트 우회
• @Modifying 필수