Skip to content

fix: 사용자 정지 시 Refresh Token 무효화#110

Merged
p990805 merged 1 commit into
devfrom
109-fix-사용자-정지-시-refresh-token-무효화
Mar 24, 2026

Hidden character warning

The head ref may contain hidden characters: "109-fix-\uc0ac\uc6a9\uc790-\uc815\uc9c0-\uc2dc-refresh-token-\ubb34\ud6a8\ud654"
Merged

fix: 사용자 정지 시 Refresh Token 무효화#110
p990805 merged 1 commit into
devfrom
109-fix-사용자-정지-시-refresh-token-무효화

Conversation

@p990805

@p990805 p990805 commented Mar 24, 2026

Copy link
Copy Markdown
Owner

변경사항

  • AdminService.suspenUser() 호출 시 정지 대상 유저의 Refresh Token을 즉시 삭제하여, 새로운 Aceess Token 발급 경로를 차단합니다.

문제점

기존 상황

  • 관리자가 사용자를 정지하면 User 엔티티의 상태만 변경되고, 해당 사용자의 Refresh Token은 DB에 그대로 남아있었습니다.
    그래서 2가지 문제점이 발생했습니다.
  1. RefreshToken으로 새 Access Token 발급 가능
  • 정지된 유저가 Refresh api 호출하면 user.isSuspended() 체크에 걸리긴 하지만, 이는 Service 레이어에서의 방어리 뿐 토큰 자체가 유효한 상태로 남아있었습니다.
  1. 기존 Access Token 만료 시점까지 API 호출 가능
  • JwtFilter에서 isAccdountNonLocked() 체크로 차단하고 있지만, 이는 매 요청마다 CustomUserDetailsService.loadUserById()를 통해 DB를 계속 조회하는 비용이 발생했습니다.

그래서 즉시 Refresh Token을 삭제하는 방향으로 수정하였습니다.

@p990805 p990805 self-assigned this Mar 24, 2026
@p990805 p990805 linked an issue Mar 24, 2026 that may be closed by this pull request
fix: 사용자 정지 시 Refresh Token 무효화 #109
Closed
@p990805 p990805 merged commit ecc8b61 into dev Mar 24, 2026
1 check passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

@p990805 p990805

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

fix: 사용자 정지 시 Refresh Token 무효화

1 participant

@p990805