Azure Active Directory - 외부 Token Cache 저장소를 사용하는 방법

지난 글에서,

Azure Active Directory - Microsoft Graph API 호출 방법
; https://www.sysnet.pe.kr/2/0/12741

로그인 후, 서버 프로세스를 종료한 후 다시 시작하면 Access Token을 구할 수 없다고 했습니다. 이를 해결하기 위해서는 access token을 보관하는 저장소를 휘발성 메모리에서 명시적인 저장소로 옮겨야 하는데요, 이에 대해 다음의 글에서 잘 설명하고 있습니다.

Distributed caching in ASP.NET Core
; https://learn.microsoft.com/en-us/aspnet/core/performance/caching/distributed

정리하면, 공식적으로는 다음의 3개 방식을 지원합니다.

• SQL Server (nuget package: Microsoft.Extensions.Caching.SqlServer)
• Redis (nuget package: Microsoft.Extensions.Caching.StackExchangeRedis)
• NCache (nuget package: NCache.Microsoft.Extensions.Caching.OpenSource)

참고로, "Distributed Memory Cache (AddDistributedMemoryCache)" 방식도 있지만 사실 이건 AddDistributedTokenCaches를 사용했을 때 기본 적용되는 Inmemory 버전에 불과합니다. 즉, "Distributed"를 사용하지 않는 AddInMemoryTokenCaches와 같습니다.

---

자, 그럼 이 중에서 간단하게 "SQL Server"로 테스트를 해보겠습니다. 이를 위해 로컬에 SQL Server를 구성, "DistCache"라는 이름의 DB를 생성한 후 다음의 명령어를 실행합니다.

C:\temp> dotnet tool install --global dotnet-sql-cache

C:\temp> dotnet sql-cache create "Data Source=.;Initial Catalog=DistCache;Integrated Security=True;" dbo TestCache

그럼 아래와 같은 형식의 "TestCache" 테이블이 생성됩니다. (달리 말하면, 그냥 기존 DB에도 아래와 같은 규격의 테이블을 직접 생성해도 무방합니다.)

CREATE TABLE [dbo].[TestCache](
    [Id] [nvarchar](449) NOT NULL,
    [Value] [varbinary](max) NOT NULL,
    [ExpiresAtTime] [datetimeoffset](7) NOT NULL,
    [SlidingExpirationInSeconds] [bigint] NULL,
    [AbsoluteExpiration] [datetimeoffset](7) NULL,
    PRIMARY KEY CLUSTERED 
    (
        [Id] ASC
    )WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]

마지막으로 ASP.NET 측의 코드 수정은 ConfigureServices에서 마무리할 수 있습니다.

// Install-Package Microsoft.Extensions.Caching.SqlServer

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
            .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
            .EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
            .AddMicrosoftGraph(Configuration.GetSection("Graph"))
            .AddDistributedTokenCaches()
            //.AddInMemoryTokenCaches()
            ;

    services.AddDistributedSqlServerCache(options =>
    {
        options.ConnectionString = "Data Source=.;Initial Catalog=DistCache;Integrated Security=True;";
        options.SchemaName = "dbo";
        options.TableName = "TestCache";
    });
    
    // ...[생략]...
}

이제 테스트를 해보면, Microsoft Account로 로그인 시 TestCache 테이블에 Token이 캐시되는 것을 확인할 수 있습니다. 또한, 프로세스를 재시작해도 이후에는 Token Cache를 TestCache 테이블에서 가져오기 때문에 _graphServiceClient.Me.Request().GetAsync(); 호출이 정상적으로 완료가 됩니다.

참고로, 호출 시마다 TestCache 테이블의 ExpiresatTime 토큰 만료 시간은 "SlidingExpirationInSeconds" 필드에 지정된 초만큼 지연이 됩니다. 또한 명시적인 로그아웃을 하면 TestCache의 해당 Token 항목도 삭제됩니다.

(첨부 파일은 이 글의 예제 코드를 포함합니다.)

이 정도면 대충 다른 것들(Redis, NCache)의 사용법도 감각적으로 알 수 있을 것입니다. ^^

---

참고로, 사용 중인 Access Token 값을 구하고 싶다면 ITokenAcquisition 인터페이스를 주입받는 것으로도 가능합니다.

public class IndexModel : PageModel
{
    // ...[생략]...
    ITokenAcquisition _tokenAcquisition;

    public IndexModel(ILogger<IndexModel> logger, GraphServiceClient graphServiceClient
            , ITokenAcquisition tokenAcquisition)
    {
        // ...[생략]...
        _tokenAcquisition = tokenAcquisition;
    }

    public async Task OnGet()
    {
        // ...[생략]...
        string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(new string[] { "user.read" });
        ViewData["access_token"] = accessToken;

        var user = await _graphServiceClient.Me.Request().GetAsync();

        ViewData["tel"] = user.MobilePhone;
    }
}

실제로 이렇게 구한 accesToken 문자열을 복사해 "Postman" 같은 도구로 다음과 같이 graph.microsoft.com 측으로 직접 쿼리를 전송해 테스트하는 것도 가능합니다.

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 7/30/2021]
[최종 수정일: 4/13/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com