Azure Active Directory - 외부 Token Cache 저장소를 사용하는 방법
지난 글에서,
Azure Active Directory - Microsoft Graph API 호출 방법
; https://www.sysnet.pe.kr/2/0/12741
로그인 후, 서버 프로세스를 종료한 후 다시 시작하면 Access Token을 구할 수 없다고 했습니다. 이를 해결하기 위해서는 access token을 보관하는 저장소를 휘발성 메모리에서 명시적인 저장소로 옮겨야 하는데요, 이에 대해 다음의 글에서 잘 설명하고 있습니다.
Distributed caching in ASP.NET Core
; https://learn.microsoft.com/en-us/aspnet/core/performance/caching/distributed
정리하면, 공식적으로는 다음의 3개 방식을 지원합니다.
- SQL Server (nuget package: Microsoft.Extensions.Caching.SqlServer)
- Redis (nuget package: Microsoft.Extensions.Caching.StackExchangeRedis)
- NCache (nuget package: NCache.Microsoft.Extensions.Caching.OpenSource)
참고로, "Distributed Memory Cache (AddDistributedMemoryCache)" 방식도 있지만 사실 이건 AddDistributedTokenCaches를 사용했을 때 기본 적용되는 Inmemory 버전에 불과합니다. 즉, "Distributed"를 사용하지 않는 AddInMemoryTokenCaches와 같습니다.
자, 그럼 이 중에서 간단하게 "SQL Server"로 테스트를 해보겠습니다. 이를 위해 로컬에 SQL Server를 구성, "DistCache"라는 이름의 DB를 생성한 후 다음의 명령어를 실행합니다.
C:\temp> dotnet tool install --global dotnet-sql-cache
C:\temp> dotnet sql-cache create "Data Source=.;Initial Catalog=DistCache;Integrated Security=True;" dbo TestCache
그럼 아래와 같은 형식의 "TestCache" 테이블이 생성됩니다. (달리 말하면, 그냥 기존 DB에도 아래와 같은 규격의 테이블을 직접 생성해도 무방합니다.)
CREATE TABLE [dbo].[TestCache](
[Id] [nvarchar](449) NOT NULL,
[Value] [varbinary](max) NOT NULL,
[ExpiresAtTime] [datetimeoffset](7) NOT NULL,
[SlidingExpirationInSeconds] [bigint] NULL,
[AbsoluteExpiration] [datetimeoffset](7) NULL,
PRIMARY KEY CLUSTERED
(
[Id] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]
마지막으로 ASP.NET 측의 코드 수정은 ConfigureServices에서 마무리할 수 있습니다.
// Install-Package Microsoft.Extensions.Caching.SqlServer
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
.EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
.AddMicrosoftGraph(Configuration.GetSection("Graph"))
.AddDistributedTokenCaches()
//.AddInMemoryTokenCaches()
;
services.AddDistributedSqlServerCache(options =>
{
options.ConnectionString = "Data Source=.;Initial Catalog=DistCache;Integrated Security=True;";
options.SchemaName = "dbo";
options.TableName = "TestCache";
});
// ...[생략]...
}
이제 테스트를 해보면, Microsoft Account로 로그인 시 TestCache 테이블에 Token이 캐시되는 것을 확인할 수 있습니다. 또한, 프로세스를 재시작해도 이후에는 Token Cache를 TestCache 테이블에서 가져오기 때문에 _graphServiceClient.Me.Request().GetAsync(); 호출이 정상적으로 완료가 됩니다.
참고로, 호출 시마다 TestCache 테이블의 ExpiresatTime 토큰 만료 시간은 "SlidingExpirationInSeconds" 필드에 지정된 초만큼 지연이 됩니다. 또한 명시적인 로그아웃을 하면 TestCache의 해당 Token 항목도 삭제됩니다.
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
이 정도면 대충 다른 것들(Redis, NCache)의 사용법도 감각적으로 알 수 있을 것입니다. ^^
참고로,
사용 중인 Access Token 값을 구하고 싶다면 ITokenAcquisition 인터페이스를 주입받는 것으로도 가능합니다.
public class IndexModel : PageModel
{
// ...[생략]...
ITokenAcquisition _tokenAcquisition;
public IndexModel(ILogger<IndexModel> logger, GraphServiceClient graphServiceClient
, ITokenAcquisition tokenAcquisition)
{
// ...[생략]...
_tokenAcquisition = tokenAcquisition;
}
public async Task OnGet()
{
// ...[생략]...
string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(new string[] { "user.read" });
ViewData["access_token"] = accessToken;
var user = await _graphServiceClient.Me.Request().GetAsync();
ViewData["tel"] = user.MobilePhone;
}
}
실제로 이렇게 구한 accesToken 문자열을 복사해 "
Postman" 같은 도구로 다음과 같이 graph.microsoft.com 측으로 직접 쿼리를 전송해 테스트하는 것도 가능합니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]