[Spring] 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 섹션7 로그인 처리2 - 필터, 인터셉터
◼️ 서블릿 필터 - 소개
문제점
로그인하지 않은 사용자가 관리화면에 들어가지 못하게 하려면 로그인 여부를 체크하는 로직을 모든 컨트롤러에서 체크해야 한다.
하지만 이후 로그인 관련 로직이 변경되면 작성한 모든 로직을 다 수정해야 할 수 있다.
해결 방안
이렇게 애플리케이션 여러 로직에서 공통으로 관심이 있는 있는 것을 공통 관심사(cross-cutting concern)라고 한다.
여기서는 등록, 수정, 삭제, 조회 등등 여러 로직에서 공통으로 인증에 대해서 관심을 가지고 있다.
- 웹과 관련된 공통 관심사는 서블릿 필터 또는 스프링 인터셉터를 사용한다.
- 웹과 관련된 공통 관심사를 처리할 때는 HTTP의 헤더나 URL의 정보들 이 필요하다.
- 처리를 위해 서블릿 필터나 스프링 인터셉터는 HttpServletRequest 를 제공한다.
🟢 필터 흐름
- HTTP 요청 → WAS → 필터 → 서블릿 → 컨트롤러
🟢 필터 제한
- HTTP 요청 → WAS → 필터 → 서블릿 → 컨트롤러 //로그인 사용자
- HTTP 요청 → WAS → 필터(적절하지 않은 요청이라 판단, 서블릿 호출X) //비 로그인 사용자
- 필터는 원하는 순서대로 체인으로 적용할 수 있다.
🟢 필터 인터페이스
public interface Filter {
// 필터 초기화 메서드.서블릿 컨테이너가 생성될때 호출
public default void init(FilterConfig filterConfig) throws ServletException {}
// 고객 요청이 올때마다 메서드 호출
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException;
// 필터 종료 메서드.서블릿 컨테이너가 종료될때 호출
public default void destroy() {}
}◼️ 서블릿 필터 - 요청로그
로그인모든 요청을 로그로 남기는 필터를 개발하고 적용해보자.
먼저 로그 필터를 작성한다.
@Slf4j
public class LogFilter implements Filter { // Filter 인터페이스 구현
@Override
public void init(FilterConfig filterConfig) throws ServletException {
Filter.super.init(filterConfig);
log.info("log filter init");
}
// HTTP 요청이 오면 doFilter가 호출됨
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
// ServletRequest는 HTTP요청이 아닌 경우까지 고려해서 만든 인터페이스
HttpServletRequest httpRequest = (HttpServletRequest) request;
String requestURI = httpRequest.getRequestURI();
String uuid = UUID.randomUUID().toString(); // HTTP 요청 구분을 위한 uuid
try {
log.info("REQUEST [{}][{}]",uuid, requestURI);
// 아래 로직이 없으면 다음단계로 진행되지않음
chain.doFilter(request, response); // 다음 필터가 있으면 필터를 호출, 필터가 없으면 서블릿을 호출
} catch (Exception e){
throw e;
} finally {
log.info("RESPONSE [{}][{}]",uuid, requestURI);
}
}
@Override
public void destroy() {
Filter.super.destroy();
log.info("log filter destroy");
}
}
다음으로 WebConfig 필터 설정을 해준다.
@Configuration
public class WebConfig {
@Bean
public FilterRegistrationBean logFilter(){
FilterRegistrationBean<Filter> filterFilterRegistrationBean = new FilterRegistrationBean<>();
filterFilterRegistrationBean.setFilter(new LogFilter()); // 등록할 필터 지정
filterFilterRegistrationBean.setOrder(1); // 순서지정. 순서가 낮을수록 먼저 동작
filterFilterRegistrationBean.addUrlPatterns("/*"); // 필터를 적용할 URL 패턴 지정
return filterFilterRegistrationBean;
}
}
🪄 @ServletComponentScan @WebFilter(filterName = "logFilter", urlPatterns = "/ *") 로 필터 등록이 가능하지만 필터 순서 조절이 안된다. 따라서 FilterRegistrationBean 을 사용하자.
◼️ 서블릿 필터 - 인증 체크
이제 인증 체크 필터를 개발해보자. 로그인 되지 않은 사용자는 상품 관리,미래에 개발될 페이지에도 접근하지 못하도록 하자.
@Slf4j
public class LoginCheckFilter implements Filter {
// 인증 필터를 적용해도 홈, 회원가입, 로그인 화면, css 같은 리소스에는 접근할 수 있어야 함
private static final String[] whitelist = {"/","/members/add","/login","/logout","/css/*"}; // 인증과 무관하게 항상 허용
@Override
public void init(FilterConfig filterConfig) throws ServletException {
Filter.super.init(filterConfig);
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
String requestURI = httpRequest.getRequestURI();
HttpServletResponse httpResponse = (HttpServletResponse) response;
try {
log.info("인증 체크 필터 시작 {}",requestURI);
if(!isLoginCheckPath(requestURI)){
log.info("인증 체크 로직 실행 {}", requestURI);
HttpSession session = httpRequest.getSession(false);
if(session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null){
log.info("미인증 사용자 요청 {}",requestURI);
// 미인증 사용자는 로그인으로 redirect
httpResponse.sendRedirect("/login?redirectURL="+requestURI);
return; // 여기가 중요, 미인증 사용자는 다음으로 진행하지 않고 끝!
}
chain.doFilter(request,response);
}
} catch (Exception e){
throw e; // 예외 로깅 가능 하지만, 톰캣까지 예외를 보내주어야 함
} finally {
log.info("인증 체크 필터 종료 {}", requestURI);
}
}
/*
* 화이트 리스트의 경우 인증 체크X
* 화이트리스트 제외한 나머지 모든 경로에 인증체크 적용
* */
private boolean isLoginCheckPath(String requestURI){
return !PatternMatchUtils.simpleMatch(whitelist, requestURI);
}
}@Bean
public FilterRegistrationBean loginCheckFilter(){
FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
filterRegistrationBean.setFilter(new LoginCheckFilter()); // 로그인 필터 등록
filterRegistrationBean.setOrder(2); // 로그 필터 다음 로그인 필터 적용
filterRegistrationBean.addUrlPatterns("/*"); // 모든 요청에 로그인 필터 적용
return filterRegistrationBean;
}
🪄PatternMatchUtils.simpleMatch(찾을 문자열 패턴 배열, 비교 문자열)
* 기호를 활용해서 4가지 케이스의 문자열 체크 가능 함
1. XXX : 완전 일치하는 경우
2. XXX* : XXX로 시작하는 문자
3. *XXX : XXX로 끝나는 문자
4. *XXX* : XXX가 포함된 문자
private static final String[] PATTERNS = {"request*", "order*", "save*"};
if(!PatternMatchUtils.simpleMatch(patterns, methodName)){ return method.invoke(target, args); }
이제 로그인에 성공하면 단순 홈화면이 아닌, 처음 요청한 URL로 이동하는 기능을 개발해보자.
미인증 사용자는 /login에 redirectURL요청 파라미터를 추가해 요청하고, 로그인 성공시 고객을 해당경로로 redirect한다.
/**
* 로그인 이후 redirect 처리
*/
@PostMapping("/login")
public String loginV4(
@Valid @ModelAttribute LoginForm form, BindingResult bindingResult,
@RequestParam(defaultValue = "/") String redirectURL,
HttpServletRequest request) {
if (bindingResult.hasErrors()) {
return "login/loginForm";
}
Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
log.info("login? {}", loginMember);
if (loginMember == null) {
bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
return "login/loginForm";
}
//로그인 성공 처리
//세션이 있으면 있는 세션 반환, 없으면 신규 세션 생성
HttpSession session = request.getSession();
//세션에 로그인 회원 정보 보관
session.setAttribute(SessionConst.LOGIN_MEMBER, loginMember);
//redirectURL 적용
return "redirect:" + redirectURL;
}
🪄 필터에는 다음에 설명할 스프링 인터셉터는 제공하지 않는, 아주 강력한 기능이 있는데 chain.doFilter(request, response); 를 호출해서 다음 필터 또는 서블릿을 호출할 때 request , response 를 다른 객체로 바꿀 수 있다. ServletRequest , ServletResponse 를 구현한 다른 객체를 만 들어서 넘기면 해당 객체가 다음 필터 또는 서블릿에서 사용된다. 잘 사용하는 기능은 아니니 참고만 해두자.
◼️ 서블릿 인터셉터 - 소개
- 서블릿 필터: 서블릿 제공 기술
- 스프링 인터셉터: 스프링 MVC가 제공하는 기술. (서블릿 필터보다 편리하고, 더 정교하고 다양한 기능을 지원)
- 스프링 인터셉터는 디스패처 서블릿 후, 컨트롤러호출 직전 호출됨
🟢 스프링 인터셉터 흐름
- HTTP 요청 → WAS → 필터 → 서블릿 → 스프링 인터셉터 → 컨트롤러
- preHandle: 컨트롤러 호출 전 호출된다. (정확히는 핸들러 어댑터 호출 전 호출)
- preHandle 의 응답값이 true 이면 다음으로 진행하고, false 이면 더는 진행하지 않는다. false 인 경우 나머지 인터셉터는 물론이고, 핸들러 어댑터도 호출되지 않는다. 그림에서 1번에서 끝이 나버린다.
- postHandle : 컨트롤러 호출 후에 호출된다. (더 정확히는 핸들러 어댑터 호출 후에 호출된다.)
- afterCompletion : 뷰가 렌더링 된 이후에 호출된다.
🟢 스프링 인터셉터 예외
- preHandle : 컨트롤러 호출 전에 호출된다.
- postHandle : 컨트롤러에서 예외가 발생하면 postHandle 은 호출되지 않는다.
- afterCompletion : afterCompletion 은 예외가 발생해도 항상 호출된다. 이 경우 예외( ex )를 파라미터로 받아서 로그로 출력할 수 있다.
🟢 필터 제한
- HTTP 요청 → WAS → 필터 → 서블릿 → 스프링 인터셉터 → 컨트롤러 //로그인 사용자
- HTTP 요청 → WAS → 필터 → 서블릿 → 스프링 인터셉터(적절X요청이라 판단, 컨트롤러 호출X) → 컨트롤러 //비 로그인 사용자
- 인터셉는 원하는 순서대로 체인으로 적용할 수 있다.
🟢 정리
인터셉터는 스프링 MVC 구조에 특화된 필터기능을 제공한다. 스프링 MVC를 사용한다면 되도록 인터셉터를 사용하는 것이 더 편리하다.
◼️ 서블릿 인터셉터 - 요청 로그
@Slf4j
public class LogInterceptor implements HandlerInterceptor {
public static final String LOG_ID = "logId";
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
String requestURI = request.getRequestURI();
String uuid = UUID.randomUUID().toString(); // 요청 로그 구분 uuid 생성
/*
* 지역변수로 해결가능한 서블릿 필터와 달리, 스프링 인터셉터는 호출 시점이 완전히 분리되어있음.멤버변수 사용X!
* request에 담아 사용
* */
request.setAttribute(LOG_ID, uuid);
//@RequestMapping: HandlerMethod
//정적 리소스: ResourceRequestHandler
if (handler instanceof HandlerMethod){ // /resources/static/ 같은 정적 리소드의 경우 ResourceHttpRequestHandler
HandlerMethod hm = (HandlerMethod) handler; // 호출할 컨트롤러 메서드의 모든 정보 포함
}
log.info("REQUEST [{}][{}][{}]", uuid, requestURI, handler);
return true; //정상 호출.다음 인터셉터나 컨트롤러가 호출됨. false 진행X
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
log.info("postHandler [{}]",modelAndView);
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
String requestURI = request.getRequestURI();
String logId = (String) request.getAttribute(LOG_ID);
log.info("RESPONSE [{}][{}]", logId, requestURI);
if (ex != null){
log.error("afterCompletion error!!",ex);
}
}
}@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new LogInterceptor()) //인터셉터 등r로
.order(1) //순서지정.낮을수록 먼저 호출됨
.addPathPatterns("/**") //인터셉터 적용할 URL패턴 지정
.excludePathPatterns("/css/**","/*.ico","/error"); //인터셉터 제외할 패턴 지정
}
...REQUEST [6234a913-f24f-461f-a9e1-85f153b3c8b2][/members/add] [hello.login.web.member.MemberController#addForm(Member)]
postHandle [ModelAndView [view="members/addMemberForm";
model={member=Member(id=null, loginId=null, name=null, password=null), org.springframework.validation.BindingResult.member=org.springframework.validati on.BeanPropertyBindingResult: 0 errors}]]
RESPONSE [6234a913-f24f-461f-a9e1-85f153b3c8b2][/members/add]
🟢 스프링 URL 경로
인스프링이 제공하는 URL 경로는 서블릿이 제공하는 URL 경로와 달리 더욱 자세하고 세밀하게 설정할 수 있다.
주요 매칭 규칙:
- ?: 하나의 문자와 일치
- *: 경로 세그먼트 내에서 하나 이상의 문자와 일치
- **: 경로의 끝까지 하나 이상의 경로 세그먼트와 일치
- {변수명}: 경로 세그먼트와 일치하고 해당 세그먼트를 '변수명'으로 캡처
- {변수명:정규식}: 경로 세그먼트에 대한 정규식과 일치하고 그 결과를 변수로 캡처
- {*변수명}: 경로의 끝까지 하나 이상의 경로 세그먼트와 일치하고 그 결과를 변수로 캡처
예시:
- /pages/t?st.html: /pages/test.html 또는 /pages/tXst.html과 일치하지만 /pages/toast.html과는 일치하지 않음.
- /resources/*.png: resources 디렉토리의 모든 .png 파일과 일치.
- /resources/**: /resources/ 경로 아래의 모든 파일과 일치, 예를 들면 /resources/image.png, /resources/css/spring.css.
- /resources/{*path}: /resources/ 아래의 모든 파일과 일치하며, 상대 경로를 'path' 변수로 캡처.
◼️ 서블릿 인터셉터 - 인증 체크
서블릿 필터와 비교해 코드가 간결하다.인증은 컨트롤러 호출 전에만 호출되면 되기에, preHandle만 구현하면 된다.
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
String requestURI = request.getRequestURI();
log.info("인증 체크 인터셉터 실행 {}", requestURI);
HttpSession session = request.getSession();
if(session == null || session.getAttribute(SessionConst.LOGIN_MEMBER)==null){
log.info("미인증 사용자 요청");
//로그인으로 redirect
response.sendRedirect("/login?redirectURL=" + requestURI);
return false;
}
return true;
}
} @Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new LogInterceptor()) //인터셉터 등r로
.order(1) //순서지정.낮을수록 먼저 호출됨
.addPathPatterns("/**") //인터셉터 적용할 URL패턴 지정
.excludePathPatterns("/css/**","/*.ico","/error"); //인터셉터 제외할 패턴 지정
registry.addInterceptor(new LoginCheckInterceptor())
.order(2)
.addPathPatterns("/**")
.excludePathPatterns(
"/", "/members/add", "/login", "/logout",
"/css/**", "/*.ico", "/error"
);
}
//인터셉터와 필터가 중복되지 않도록 logFilter() , loginCheckFilter() 의 @Bean 은 주석처리◼️ ArgumentResolver 활용
MVC1편 6. 스프링 MVC - 기본 기능 요청 매핑 헨들러 어뎁터 구조에서 ArgumentResolver 를 학습했었다.
이를 이용해 로그인 회원을 편리하게 찾아보자.
아래와 같이 @Login 애노테이션으로 자동으로 세션에 있는 로그인 회원을 찾아주고, 세션에 없다면 null을 반환하도록 해보자.
@GetMapping("/")
public String homeLoginV3ArgumentResolver(@Login Member loginMember, Model
model) {
//세션에 회원 데이터가 없으면 home
if (loginMember == null) {
return "home";
}
//세션이 유지되면 로그인으로 이동
model.addAttribute("member", loginMember);
return "loginHome";
}이제 @Login 애노테이션을 생성한다.
@Target(ElementType.PARAMETER) // 파라미터에만 사용
@Retention(RetentionPolicy.RUNTIME) // 리플렉션 등을 사용할 수 있도록 런타임까지 정보가 남음
public @interface Login {
}그리고 HandlerMethodArgumentResolver를 구현해보자.
@Slf4j
public class LoginMemberArgumentResolver implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter parameter) {
log.info("supportsParameter 실행");
// @Login 애노테이션이 있으면서 Meber 타입이면 ArgumentResolver 사용
boolean hasLoginAnnotation = parameter.hasParameterAnnotation(Login.class);
boolean hasMemberType = Member.class.isAssignableFrom(parameter.getParameterType());
return hasLoginAnnotation && hasMemberType;
}
// 컨트롤러 호출 직전 호출되어 필요한 파라미터 정보 생성
@Override
public Object resolveArgument(MethodParameter parameter,
ModelAndViewContainer mavContainer, NativeWebRequest webRequest,
WebDataBinderFactory binderFactory) throws Exception {
log.info("resolveArgument 실행");
HttpServletRequest request = (HttpServletRequest)webRequest.getNativeRequest();
HttpSession session = request.getSession(false); // 세션에서 member 객체 찾아 반환
if (session == null) {
return null;
}
//반환된 member 객체를 파라미터에 전달
return session.getAttribute(SessionConst.LOGIN_MEMBER);
}
}이제 앞에서 개발한 LoginMemberArgumentResolver를 등록한다.
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver>
resolvers) {
resolvers.add(new LoginMemberArgumentResolver());
}
//...
}이렇게 ArgumentResolver 를 활용하면 공통 작업이 필요할 때 컨트롤러를 더욱 편리하게 사용할 수 있다.
'Spring' 카테고리의 다른 글
| [Spring] 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 섹션9 API 예외 처리 (0) | 2024.05.14 |
|---|---|
| [Spring] 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 섹션8 예외 처리와 오류 페이지 (0) | 2024.05.12 |
| [Spring] 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 섹션6 로그인 처리1 - 쿠키, 세션 (0) | 2024.05.08 |
| [Spring] 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 섹션4 검증1 - Validation (1) | 2024.05.06 |
| [Spring] 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 섹션3 메시지, 국제화 (0) | 2024.05.06 |
