Remember me 쿠키에 대해서

Question

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.   안녕하세요. remember me 쿠키에 대해 질문드리려 합니다 remember-me 쿠키는 사용자아이디 + 비밀번호를 암호화 해서 가지고 있는걸로 이해했습니다. 그래서 인증 토큰이 만료된다면, remember-me 쿠키를 통해서 쿠키를 디코딩하여 다시 인증을 시도하는걸로 이해했구요! 그러면, 마지막에 ' remember-me 쿠키를 통해서 쿠키를 디코딩하여 다시 인증을 시도 ' 하기 전에, 사용자가 비밀번호를 변경한다 면 remember-me 는 적용이 안되고 다시 로그인 페이지로 돌아가는 걸까요? 강의 잘 듣고 있습니다. 감사드립니다!

정수원 · Answer

네 맞습니다.

위 코드는 TokenBasedRememberMeServices 클래스에서 클라이언트의 remmebrer-me 와 서버에서 생성하는 remmebrer-me 값을 서로 비교하는 메서드인데 중간에 보시면
UserDetails userDetails = getUserDetailsService().loadUserByUsername(cookieTokens[0]);
가 있는데 사용자의 아이디로 유저객체를 얻어 오고 있습니다.
즉 userDetails 에는 db 에 저장된 사용자의 정보를 가지고 오기 때문에 중간에 변경된 비밀번호를 참조하게 됩니다.
String expectedTokenSignature = makeTokenSignature(tokenExpiryTime, userDetails.getUsername(), userDetails.getPassword());

userDetails.getPassword() 는 쿠키를 최초 발급하는 시점의 비밀번호가 아닌 현재 db 에서 가지고 온 비밀번호입니다.
그래서 중간에 비밀번호를 변경한다면 클라이언트와 서버의 remember-me 가 서로 다르기 때문에 최종 인증에 실패할 것이고 다시 로그인 페이지로 이동하거나 인증 실패 화면으로 이동할 것입니다.

다만 위에서 사용자를 가지고 오는 getUserDetailsService().loadUserByUsername(cookieTokens[0]); 코드가 db 가 아닌 캐시로 되어 있거나 메모리로 구현되어 있다면 결과는 달라질 수 있습니다.