forked from baron/baron-sso
5.7 KiB
5.7 KiB
RP 연동 해지(Consent Revoke) 기능 구현 가이드
1. 개요
사용자가 UserFront 대시보드의 '활동상황' 섹션에서 특정 서비스(RP)와의 연동(동의)을 직접 해지할 수 있는 기능입니다. 이 기능을 통해 사용자는 자신의 정보 제공 동의를 철회할 수 있으며, 이후 해당 서비스 재접속 시 다시 동의 화면을 거치게 됩니다.
2. 동작 흐름 (Workflow)
- 사용자 요청 (Frontend):
- 대시보드 활동상황 카드에서 '연동 해지' 버튼을 클릭합니다.
- 확인 모달(Dialog)이 뜨고, 사용자가 '해지하기'를 확정합니다.
- API 호출 (Frontend -> Backend):
- UserFront는 백엔드 API
DELETE /api/v1/user/rp/linked/{client_id}를 호출합니다. - 이때,
AuthProxyService는 현재 세션의 인증 토큰(Bearer Token)을 헤더에 포함하여 요청합니다.
- UserFront는 백엔드 API
- 동의 철회 처리 (Backend -> Hydra):
- 백엔드는 요청을 수신하고, 요청자의
subject(사용자 ID)를 식별합니다. - Ory Hydra Admin API를 호출하여 해당
subject와client_id에 대한 모든 동의 세션(Consent Sessions)을 삭제합니다.
- 백엔드는 요청을 수신하고, 요청자의
- UI 갱신 (Frontend):
- API 호출이 성공하면, 프론트엔드는 목록을 새로고침하지 않고 해당 카드의 상태를 즉시 '해지됨'으로 변경합니다.
- 해지된 카드는 흐릿하게(Opacity) 처리되며, 버튼이 비활성화되어 중복 요청을 방지합니다.
3. 백엔드 구현 상세 (Go)
파일: backend/internal/handler/auth_handler.go
3.1 핸들러 구현: RevokeLinkedRp
프론트엔드의 삭제 요청을 받아 처리하는 진입점입니다.
func (h *AuthHandler) RevokeLinkedRp(c *fiber.Ctx) error {
// 1. 파라미터 파싱
clientID := c.Params("id")
// 2. 사용자 식별 (Subject 조회)
subject, err := h.resolveConsentSubject(c)
if err != nil || subject == "" {
return fiber.NewError(fiber.StatusUnauthorized, "Authentication required")
}
// 3. 서비스 호출 (Hydra 연동)
if err := h.Hydra.RevokeConsentSessions(c.Context(), subject, clientID); err != nil {
return fiber.NewError(fiber.StatusInternalServerError, "Failed to revoke link")
}
return c.Status(fiber.StatusOK).JSON(fiber.Map{
"status": "success",
"message": "Link revoked successfully",
})
}
파일: backend/internal/service/hydra_admin_service.go
3.2 Hydra 연동: RevokeConsentSessions
실제 Hydra Admin API를 호출하여 동의 세션을 삭제하는 로직입니다.
- API Endpoint:
DELETE /admin/oauth2/auth/sessions/consent - Query Params:
subject={user_id},client={client_id},all=true
func (s *HydraAdminService) RevokeConsentSessions(ctx context.Context, subject, clientID string) error {
// ... (Hydra Client 초기화)
// Hydra API 호출
_, err := s.client.Admin.RevokeConsentSessions(ctx).
Subject(subject).
Client(clientID).
All(true). // 해당 클라이언트에 대한 모든 세션 삭제
Execute()
return err
}
4. 프론트엔드 구현 상세 (Flutter)
파일: userfront/lib/core/services/auth_proxy_service.dart
4.1 API 호출: revokeLinkedRp
중요: 401 인증 오류를 방지하기 위해 AuthTokenStore에서 토큰을 가져와 명시적으로 헤더에 추가하는 로직이 적용되었습니다.
static Future<void> revokeLinkedRp(String clientId) async {
// ... (URL 설정)
final url = Uri.parse('$baseUrl/api/v1/user/rp/linked/$clientId');
// 인증 헤더 구성 (401 오류 해결 핵심)
final useCookie = AuthTokenStore.usesCookie();
final token = AuthTokenStore.getToken();
final client = createHttpClient(withCredentials: useCookie);
final headers = <String, String>{
'Content-Type': 'application/json',
};
if (!useCookie && token != null) {
headers['Authorization'] = 'Bearer $token';
}
final response = await client.delete(url, headers: headers);
// ... (에러 핸들링)
}
파일: userfront/lib/features/dashboard/presentation/dashboard_screen.dart
4.2 상태 관리 및 UI 로직
해지된 항목을 로컬 상태(Set<String> _revokedClientIds)로 관리하여, 불필요한 API 재조회 없이 즉각적인 UI 피드백을 제공합니다.
- 상태 변수:
final Set<String> _revokedClientIds = {}; // 이번 세션에서 해지한 ID 목록 - 해지 핸들러 (
_onRevokeLink):- 사용자 확인 모달 표시.
- API 호출 성공 시
setState를 통해_revokedClientIds에 ID 추가. ScaffoldMessenger로 "해지되었습니다" 알림 표시.
- UI 렌더링 (
_buildActivityCard):_revokedClientIds에 포함된 ID인 경우:Opacity(0.6)적용.- 버튼 텍스트를 '해지됨'으로 변경하고 비활성화(
null). - 상태 라벨을 '비활성'으로 표시.
// UI 상태 결정
final isRevoked = _revokedClientIds.contains(rp.id);
// 카드 투명도 처리
final opaqueCard = Opacity(
opacity: item.isRevoked ? 0.6 : 1.0,
child: cardContent,
);
5. 요약
이 기능은 백엔드에서의 정확한 사용자 식별 및 Hydra 세션 철회와 프론트엔드에서의 안전한 인증 처리 및 즉각적인 UI 피드백이 결합되어 구현되었습니다. 특히 프론트엔드에서 연동 해지 시 목록에서 아예 사라지는 것이 아니라, '해지됨' 상태로 남겨두어 사용자가 자신의 행동(해지)을 명확히 인지할 수 있도록 UX를 고려했습니다.