구글 리프레시 토큰이 안넘어 오는 이유!

[출처 : https://doogle.link/%EA%B5%AC%EA%B8%80-%EC%95%84%EC%9D%B4%EB%94%94%EB%A1%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EA%B5%AC%ED%98%84%EC%A4%91-%EB%A6%AC%ED%94%84%EB%A0%88%EC%8B%9C-%ED%86%A0%ED%81%B0refresh-token-%EC%9D%B4/]

 

카카오 아이디 로그인을 PHP 에서 처리하려고 Hybridauth 패키지를 이용해 구현하고 있습니다.

카카오 아이디 로그인이 잘 되어서 이제 구글 로그인도 붙여보려고 테스트하고 있는데요. 이상하게 카카오와는 다르게 refresh token 이 안넘어오네요.

debug 모드로 봐도 refresh_token 이 아예 항목이 없이 넘어옵니다.

계속 구글링 해보고 refresh token is null, refresh token is empty 등으로 검색해보다가 반나절만에 겨우 찾았네요.

역시 설명서를 잘 읽어야 됩니다.

카카오의 경우 access_token 을 얻을 때 항상 refresh_token 도 같이 넘겨주는 데요. 구글의 경우에는 항상 넘겨주는게 아니라 기본적으로 access_token 처음 발급할 때만 넘겨줍니다. 그래서 로그아웃 후 두번째 테스트 할 때부터는 카카오랑 동일한 로직으로 처리하면 refresh_token 이 넘어오지 않게 되는 겁니다.

정확히는 몇가지 refresh_token 이 만료되는 경우가 설명서에 언급되어 있는데요. (https://developers.google.com/identity/protocols/oauth2?hl=en#expiration)

• 사용자가 너의 앱 접근을 해제한 경우
• 리프레시 토큰이 6개월동안 사용되지 않은 경우
• 사용자가 비밀번호를 변경하고 리프레시 토큰이 Gmail 범위(scope)를 포함하는 경우
• 사용자 계정이 허가된(살아있는) 리프레시 토큰의 최대 횟수를 초과하는 경우

이렇게 4가지의 경우에만 새로 리프레시 토큰이 발급됩니다.

그러니 구글 아이디로 로그인을 구현할 때는 리프레스 토큰을 좀더 꼼꼼하게 챙겨야 합니다. 로직을 구현할 때 2가지 정도 추가적으로 고려하시기 바랍니다.

1. 아무때나 refresh_token 을 받을 수 없기 때문에 첫 access_token 을 발급할 때 받은 refresh_token 값을 DB 등에 장기 저장할 수 있어야 합니다.
2. 또한 첫 로그인 을 제외하고 위 4가지 이유에 따라 언제든지 새로운 refresh_token 을 받을 수 있으므로 새로 refresh_token 을 받게되면 바로 DB 등에 장기 저장해 둬야 합니다.

이렇게 저장한 refresh_token 은 만료되기 전까지는 계속 사용할 수 있습니다.

모르면 헤맬 수 밖에 없는 부분이네요. 미리 설명서가 영어라고 꼼꼼히 안읽어본 저의 잘못이겠죠. 다른분들은 이 글을 보시고 방황하는 시간을 조금이라도 줄이는데 도움이 되길 바랄 뿐입니다. ^^

참고 문서 >

구글 OAuth2 설명서 (영문) : https://developers.google.com/identity/protocols/oauth2?hl=en#expiration

스택오버플로우 답변 : https://stackoverflow.com/questions/62700314/keycloak-only-gets-google-refresh-token-on-first-login