fix: application-prod.yml에서 쿠키를 쓸지 말지 결정할 수 있게 수정 (#69)

* fix: application-prod.yml에서 쿠키를 쓸지 말지 결정할 수 있게 수정

* test: 테스트 코드 작성

Author: johnhuh619

src/main/java/sevenstar/marineleisure/global/config/SecurityConfig.java

@@ -2,6 +2,7 @@
 
 import java.util.Arrays;
 
+import org.springframework.beans.factory.annotation.Value;
 import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
 import org.springframework.http.HttpMethod;
@@ -28,6 +29,9 @@ public class SecurityConfig {
 	private final JwtTokenProvider jwtTokenProvider;
 	private final JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
 
+	@Value("${jwt.use-cookie:true}")
+	private boolean useCookie;
+
 	@Bean
 	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
 		http
@@ -75,7 +79,10 @@ public CorsConfigurationSource corsConfigurationSource() {
 
 		config.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS"));
 		config.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type", "X-Requested-With"));
-		config.setAllowCredentials(true);
+
+		// jwt.use-cookie 설정에 따라 credentials 설정 변경
+		// useCookie=true 일 때만 allowCredentials=true (쿠키 사용)
+		config.setAllowCredentials(useCookie);
 		config.setMaxAge(3600L); // 프리플라이트 요청 캐싱 (1시간)
 
 		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

src/main/java/sevenstar/marineleisure/global/util/CookieUtil.java

@@ -1,75 +1,114 @@
 package sevenstar.marineleisure.global.util;
 
+import java.time.Duration;
+
+import org.springframework.beans.factory.annotation.Value;
+import org.springframework.stereotype.Component;
+
 import jakarta.servlet.http.Cookie;
 import jakarta.servlet.http.HttpServletRequest;
 import jakarta.servlet.http.HttpServletResponse;
 
-import org.springframework.stereotype.Component;
-
 /**
  * 쿠키 관리 유틸리티
  * 쿠키 생성, 조회, 삭제 로직을 담당합니다.
+ * jwt.use-cookie 설정에 따라 쿠키 설정을 다르게 적용합니다.
  */
 @Component
 public class CookieUtil {
 
-	/**
-	 * 리프레시 토큰 쿠키 생성
-	 *
-	 * @param refreshToken 리프레시 토큰
-	 * @return 생성된 쿠키
-	 */
-	public Cookie createRefreshTokenCookie(String refreshToken) {
-		Cookie refreshTokenCookie = new Cookie("refresh_token", refreshToken);
-		refreshTokenCookie.setHttpOnly(true);
-		refreshTokenCookie.setSecure(true);
-		refreshTokenCookie.setPath("/");
-		refreshTokenCookie.setMaxAge((int)(14 * 24 * 60 * 60)); // 14일
-		refreshTokenCookie.setAttribute("SameSite", "None");
-		return refreshTokenCookie;
-	}
-
-	/**
-	 * 리프레시 토큰 쿠키 삭제
-	 *
-	 * @return 삭제용 쿠키
-	 */
-	public Cookie deleteRefreshTokenCookie() {
-		Cookie refreshTokenCookie = new Cookie("refresh_token", "");
-		refreshTokenCookie.setHttpOnly(true);
-		refreshTokenCookie.setSecure(true);
-		refreshTokenCookie.setPath("/");
-		refreshTokenCookie.setMaxAge(0); // 쿠키 즉시 만료
-		refreshTokenCookie.setAttribute("SameSite", "None");
-		return refreshTokenCookie;
-	}
-
-	/**
-	 * 쿠키 조회
-	 *
-	 * @param request HTTP 요청
-	 * @param name 쿠키 이름
-	 * @return 찾은 쿠키 또는 null
-	 */
-	public Cookie getCookie(HttpServletRequest request, String name) {
-		Cookie[] cookies = request.getCookies();
-		if (cookies != null) {
-			for (Cookie cookie : cookies) {
-				if (cookie.getName().equals(name)) {
-					return cookie;
-				}
-			}
-		}
-		return null;
-	}
-
-	/**
-	 * 쿠키 추가
-	 *
-	 * @param response HTTP 응답
-	 * @param cookie 추가할 쿠키
-	 */
-	public void addCookie(HttpServletResponse response, Cookie cookie) {
-		response.addCookie(cookie);
-	}
-}
+    @Value("${jwt.use-cookie:true}")
+    private boolean useCookie;
+
+    /**
+     * 리프레시 토큰 쿠키 생성
+     * jwt.use-cookie 설정에 따라 쿠키 설정이 달라집니다.
+     * - useCookie=false: secure=false, sameSite=Lax
+     * - useCookie=true: secure=true, sameSite=None
+     *
+     * @param refreshToken 리프레시 토큰
+     * @return 생성된 쿠키
+     */
+    public Cookie createRefreshTokenCookie(String refreshToken) {
+        boolean useSecureCookie = useCookie;
+
+        // Create a standard Cookie
+        Cookie cookie = new Cookie("refresh_token", refreshToken);
+        cookie.setHttpOnly(true);
+        cookie.setSecure(useSecureCookie);
+        cookie.setPath("/");
+        cookie.setMaxAge((int) Duration.ofDays(14).toSeconds());
+
+        // Set SameSite attribute
+        if (useSecureCookie) {
+            cookie.setAttribute("SameSite", "None");
+        } else {
+            cookie.setAttribute("SameSite", "Lax");
+        }
+
+        return cookie;
+    }
+
+    /**
+     * 리프레시 토큰 쿠키 삭제
+     * jwt.use-cookie 설정에 따라 쿠키 설정이 달라집니다.
+     *
+     * @return 삭제용 쿠키
+     */
+    public Cookie deleteRefreshTokenCookie() {
+        boolean useSecureCookie = useCookie;
+
+        Cookie cookie = new Cookie("refresh_token", "");
+        cookie.setHttpOnly(true);
+        cookie.setSecure(useSecureCookie);
+        cookie.setPath("/");
+        cookie.setMaxAge(0); // 쿠키 즉시 만료
+
+        // Set SameSite attribute
+        if (useSecureCookie) {
+            cookie.setAttribute("SameSite", "None");
+        } else {
+            cookie.setAttribute("SameSite", "Lax");
+        }
+
+        return cookie;
+    }
+
+    /**
+     * 쿠키 조회
+     *
+     * @param request HTTP 요청
+     * @param name 쿠키 이름
+     * @return 찾은 쿠키 또는 null
+     */
+    public Cookie getCookie(HttpServletRequest request, String name) {
+        Cookie[] cookies = request.getCookies();
+        if (cookies != null) {
+            for (Cookie cookie : cookies) {
+                if (cookie.getName().equals(name)) {
+                    return cookie;
+                }
+            }
+        }
+        return null;
+    }
+
+    /**
+     * 쿠키 추가
+     *
+     * @param response HTTP 응답
+     * @param cookie 추가할 쿠키
+     */
+    public void addCookie(HttpServletResponse response, Cookie cookie) {
+        response.addCookie(cookie);
+    }
+
+    /**
+     * 현재 설정이 쿠키를 사용하는지 여부 반환
+     * 
+     * @return jwt.use-cookie 설정값
+     */
+    public boolean isUsingCookie() {
+        return useCookie;
+    }
+}

src/main/java/sevenstar/marineleisure/member/controller/AuthController.java

@@ -102,25 +102,35 @@ public ResponseEntity<BaseResponse<LoginResponse>> kakaoLogin(
 	/**
 	 * 토큰 재발급
 	 *
-	 * @param refreshToken 리프레시 토큰 (쿠키에서 추출)
+	 * @param refreshToken 리프레시 토큰 (쿠키 또는 요청 본문에서 추출)
+	 * @param refreshTokenFromBody 요청 본문에서 전달된 리프레시 토큰 (jwt.use-cookie=false 설정용)
 	 * @param response HTTP 응답
 	 * @return 새로운 액세스 토큰과 사용자 정보
 	 */
 	@PostMapping("/refresh")
 	public ResponseEntity<BaseResponse<LoginResponse>> refreshToken(
-		@CookieValue("refresh_token") String refreshToken,
+		@CookieValue(value = "refresh_token", required = false) String refreshToken,
+		@RequestBody(required = false) Map<String, String> refreshTokenFromBody,
 		HttpServletResponse response
 	) {
-		log.info("Refreshing token with refresh token: {}", refreshToken);
+		log.info("Refreshing token");
 
 		try {
+			String token = refreshToken;
+
+			// jwt.use-cookie=false 설정일 때는 요청 본문에서 리프레시 토큰 추출
+			if ((token == null || token.isEmpty()) && refreshTokenFromBody != null) {
+				token = refreshTokenFromBody.get("refreshToken");
+				log.info("Using refresh token from request body: {}", token);
+			}
+
 			// 리프레시 토큰이 없는 경우
-			if (refreshToken == null || refreshToken.isEmpty()) {
+			if (token == null || token.isEmpty()) {
 				log.error("Empty refresh token");
 				return BaseResponse.error(MemberErrorCode.REFRESH_TOKEN_MISSING);
 			}
 
-			LoginResponse loginResponse = authService.refreshToken(refreshToken, response);
+			LoginResponse loginResponse = authService.refreshToken(token, response);
 			return BaseResponse.success(loginResponse);
 		} catch (IllegalArgumentException e) {
 			log.info("Invalid refresh token: {}", e.getMessage());

src/main/java/sevenstar/marineleisure/member/dto/LoginResponse.java

@@ -1,21 +1,73 @@
 package sevenstar.marineleisure.member.dto;
 
 import lombok.Builder;
+import sevenstar.marineleisure.member.domain.Member;
 
 /**
  * 로그인 성공 시 반환되는 DTO
  * Access 토큰과 사용자 정보를 포함
- * Refresh 토큰은 쿠키로 전송
+ * Refresh 토큰은 jwt.use-cookie 설정에 따라 쿠키 또는 응답 본문으로 전송
  * @param accessToken
  * @param userId
  * @param email
  * @param nickname
+ * @param refreshToken jwt.use-cookie=false 설정일 때만 사용 (쿠키 대신 응답 본문에 포함)
  */
 @Builder
 public record LoginResponse(
 	String accessToken,
 	Long userId,
 	String email,
-	String nickname
+	String nickname,
+	String refreshToken
 ) {
+	/**
+	 * 쿠키 방식 사용 시 (jwt.use-cookie=true) 생성자
+	 */
+	public static LoginResponse of(String accessToken, Long userId, String email, String nickname) {
+		return LoginResponse.builder()
+			.accessToken(accessToken)
+			.userId(userId)
+			.email(email)
+			.nickname(nickname)
+			.build();
+	}
+
+	/**
+	 * JSON 응답 방식 사용 시 (jwt.use-cookie=false) 생성자
+	 */
+	public static LoginResponse of(String accessToken, Long userId, String email, String nickname, String refreshToken) {
+		return LoginResponse.builder()
+			.accessToken(accessToken)
+			.userId(userId)
+			.email(email)
+			.nickname(nickname)
+			.refreshToken(refreshToken)
+			.build();
+	}
+
+	/**
+	 * 사용자 정보와 액세스 토큰만으로 생성하는 편의 메서드
+	 */
+	public static LoginResponse of(String accessToken, Member member) {
+		return LoginResponse.builder()
+			.accessToken(accessToken)
+			.userId(member.getId())
+			.email(member.getEmail())
+			.nickname(member.getNickname())
+			.build();
+	}
+
+	/**
+	 * 사용자 정보와 액세스 토큰, 리프레시 토큰으로 생성하는 편의 메서드 (jwt.use-cookie=false 설정용)
+	 */
+	public static LoginResponse of(String accessToken, Member member, String refreshToken) {
+		return LoginResponse.builder()
+			.accessToken(accessToken)
+			.userId(member.getId())
+			.email(member.getEmail())
+			.nickname(member.getNickname())
+			.refreshToken(refreshToken)
+			.build();
+	}
 }