[로그인 및 회원가입] 사용자 편의성을 고려한 이메일 인증 기반 로그인/회원가입 소개

요구사항 소개

Airbnb 사이트에서 로그인하기 위해 이메일을 입력했을 때

• 이메일이 존재한다면 비밀번호를 입력하는 창을 띄워주고,
• 이메일이 존재하지 않는다면 해당 이메일을 가지고 회원가입을 하도록 진행시킵니다.

고민 포인트

1. A사용자와 B사용자가 동시에 같은 이메일로 회원가입을 할 때, 누구의 이메일을 유효하게 볼 것인가?

 

처음에는 로그인하기 위해 이메일을 먼저 입력한 사용자만 처리되야 한다 생각했습니다.

그래서 동시에 이메일을 입력했을 때의 케이스를 처리하기 위해 싱글 스레드인 Redis 에 먼저 들어온 이메일을 저장 할 순 있지만, 이후에 요청한 사용자 입장에서는 회원가입 하지도 않았는데 비밀번호를 입력하는 창을 띄워주는 것은 사용자로 하여금 불편하다고 판단했습니다.

 

그러나, 메일 서버의 API를 사용한다면 동시에 같은 이메일로 회원가입할 경우를 고려하지 않아도 됨을 알았습니다. 메일 서버에는 airbnb123@naver.com 이란 이메일에 대해 유효한 사용자가 단 1명만이 존재하기 때문에, 두 사용자가 같은 이메일로 회원가입을 하더라도 단 1명의 사용자에게만 이메일 인증번호가 발송되기 때문입니다.

 

2. 이메일 인증번호를 Redis 에 넣을 때, 키-값으로 [이메일-UUID] 와 [UUID-이메일] 중 어떻게 넣을 것인가?

 

결론 : UUID-이메일로 넣었습니다.

 

먼저, Redis 에 이메일 인증번호를 넣은 이유는 이메일 인증번호는 회원가입할 때만 사용되는 일회성 데이터입니다.

만약, AWS를 이용해 서버 인프라를 구축한다면 Boot 는 public subnet 에, DB는 private subnet 에 띄우게 될 것입니다.

이 때, 일회성 데이터를 다른 IP주소의 네트워크로 전송을 하는 것 보다 public subnet 에 redis 서버를 띄우고, 이 서버를 캐시DB로 활용하여 일회성 데이터를 관리한다면 네트워크 트래픽을 줄여 성능을 높일 수 있을 것이라 판단했습니다.

 

UUID-이메일로 선택한 이유는 다음과 같습니다.

<상황>
사용자 A 가 gromit123@naver.com 으로 회원가입 진행.
사용자 B의 유효한 이메일은 gromit124@naver.com 이지만, 오타로 gromit123@naver.com 로 회원가입 진행

<문제>
Redis는 같은 키에 대해 요청이 2번 들어오면, 늦게 요청한 값이 적용됩니다.
즉, [이메일-UUID] 방식을 채택하면, 위 상황에서 유효한 이메일을 가진 사용자A가 사용자B로 인해 인증이 불가되는 문제 발생합니다.

<해결>
그렇기 때문에 키-값으로 UUID-이메일을 채택했습니다..

<단점>
그러나, 하나의 이메일에 인증번호를 호출할 때마다 레디스에 새로운 값이 추가됩니다.

<해결>
Redis 에 UUID-이메일이 저장될 때, 만료 시간을 5분으로 설정하고
같은 요청에 대해 Redis 에 값이 계속 추가되는 것을 막기 위해 Rate Limit 을 설정할 수 있지만, 구현하지는 않았습니다.

 

3. 유효하지 않은 이메일에 인증번호를 보내면 서버의 부하가 커지는, 이메일 검증을 어디까지 할 것인가?

• 모든 이메일에 인증 메일을 전송하지 않게 하여 서버의 네트워크 부하를 낮춰야 한다고 생각했습니다.
• Spring Validation 의 @Email 로는 검증이 부족하다고 판단했습니다.
• 그래서, Request(Dto) 의 이메일에 정규표현식을 추가했습니다.

이메일은 '로컬@도메인' 으로 구성됩니다.

예를 들어, gromit123@naver.com 에서 gromit123 은 로컬, naver.com 은 도메인이라 부릅니다. (만약, co.kr 같은 도메인일 경우 .kr 을 최상위 도메인이라 부름)

 

[검증 소개]

로컬은 @를 제외한 아무 기호,숫자,문자 허용

도메인은 @뒤에 - 을 제외한 알파벳/숫자가 1개이상 포함해야 하고, 반복될 수 있지만 도메인의 끝은 알파벳 2자리 이상으로 끝나야 하는 정규표현식을 설정했습니다.

/**
 *  [^-] : @ 뒤에 - 로 시작하지 않음
 *  [A-Za-z0-9-]+ :  알파벳, 숫자가 1개 이상 포함되어야 함
 *  (\.[A-Za-z0-9-]+)* : 위의 표현식이 . 을 포함해서 0번이상 반복될 수 있음
 *  (\.[A-Za-z]{2,})$ : 끝은 알파벳 2자리 이상으로 끝나야 함
 */
@Email(regexp = "^[^@]+@[^-][A-Za-z0-9-]+(\\.[A-Za-z0-9-]+)*(\\.[A-Za-z]{2,})$")
@NotNull
String email

도메인의 정규표현식은 https://www.baeldung.com/java-email-validation-regex 의 4. Strict Regular Expression Validation 부분에서 가져왔습니다. 

 

4. JavaMailSender 의 send 메서드는 동기 API ? 비동기 API? 멀티쓰레드에서 안전한지를 고민했습니다.

• 동기 API 인지 비동기 API 인지에 따라, send 다음에 있는 Redis 에 값을 넣는 로직의 순서가 달라집니다.
• JavaMailSenderImpl 이 스프링(멀티쓰레드) 환경에서 thread-safe 한지 알아보았습니다.

import airdnb.be.exception.BusinessException;
import airdnb.be.exception.ErrorCode;
import airdnb.be.utils.RedisUtils;
import java.util.UUID;
import java.util.concurrent.TimeUnit;
import lombok.RequiredArgsConstructor;
import org.springframework.mail.MailException;
import org.springframework.mail.SimpleMailMessage;
import org.springframework.mail.javamail.JavaMailSender;
import org.springframework.stereotype.Service;

@RequiredArgsConstructor
@Service
public class EmailService {

    private static final Long UUID_TTL = 5L;
    private static final TimeUnit UUID_TTL_UNIT = TimeUnit.MINUTES;

    private final Environment env;
    private final JavaMailSender javaMailSender;
    private final RedisUtils redisUtils;

    public void sendAuthenticationEmail(String memberEmail) {
        try {
            String randomUUID = createRandomUUID();
            SimpleMailMessage message = createSimpleMessage(memberEmail, randomUUID);
  >>>>      javaMailSender.send(message);   <<< 비동기API / 동기API ?
            redisUtils.addData(randomUUID, memberEmail, UUID_TTL, UUID_TTL_UNIT);
        } catch (MailException ex) {
            log.error("메일 전송 불가 : {}", ex.getMessage());
        }
    }
}

 

아래 링크에서 메일을 보내는 send 메서드는 동기 API이며, thread-safe 한 메서드임을 확인하였습니다. https://stackoverflow.com/questions/37777372/is-javamailsenderimpl-of-spring-thread-safe

 

네트워트를 타기 때문에 비동기로 동작하도록 바꾼다면, 서버 성능이 좋아질 수 있는 요소로 추후에 배포한 서버에서 테스트 해보도록 하겠습니다.