Filter: Web 애플리케이션에서 관리되는 영역으로 요청과 응답에 대해 최초/최종 단계의 위치하며 이를 통해 요청과 응답의 정보를 변경하는 등 부가적인 기능을 추가할 수 있습니다.
- 주로 범용적으로 처리해야 하는 작업들, 예를들어 로깅 및 보안 처리에 활용합니다.
- 인증, 인가와 관련된 로직들을 처리할 수도 있습니다.
- Filter를 사용하면 필터 내 로직을 비즈니스 로직과 분리하여 관리할 수 있다는 장점이 있습니다.
Filter는 한 개만 존재하는 것이 아니라 여러 개가 Chain 형식으로 묶여서 처리되고 있습니다.
Request URL Logging 필터
import java.io.IOException;
@Slf4j(topic = "LoggingFilter")
@Component
@Order(1)
public class LoggingFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
// 전처리
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
String url = httpServletRequest.getRequestURI();
log.info(url);
chain.doFilter(request, response); // 다음 Filter 로 이동
// 후처리
log.info("비즈니스 로직 완료");
}
}
- @Order(1) 로 필터의 순서를 지정합니다.
- chain.doFilter(request, response); 다음 Filter로 이동시킵니다.
- 작업이 다 완료된 후 Client에 응답 전 로그가 작성된 것을 확인할 수 있습니다.
인증 및 인가 처리 필터
import java.io.IOException;
@Slf4j(topic = "AuthFilter")
@Component
@Order(2)
public class AuthFilter implements Filter {
private final UserRepository userRepository;
private final JwtUtil jwtUtil;
public AuthFilter(UserRepository userRepository, JwtUtil jwtUtil) {
this.userRepository = userRepository;
this.jwtUtil = jwtUtil;
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
String url = httpServletRequest.getRequestURI();
if (StringUtils.hasText(url) &&
(url.startsWith("/api/user") || url.startsWith("/css") || url.startsWith("/js"))
) {
// 회원가입, 로그인 관련 API 는 인증 필요없이 요청 진행
chain.doFilter(request, response); // 다음 Filter 로 이동
} else {
// 나머지 API 요청은 인증 처리 진행
// 토큰 확인
String tokenValue = jwtUtil.getTokenFromRequest(httpServletRequest);
if (StringUtils.hasText(tokenValue)) { // 토큰이 존재하면 검증 시작
// JWT 토큰 substring
String token = jwtUtil.substringToken(tokenValue);
// 토큰 검증
if (!jwtUtil.validateToken(token)) {
throw new IllegalArgumentException("Token Error");
}
// 토큰에서 사용자 정보 가져오기
Claims info = jwtUtil.getUserInfoFromToken(token);
User user = userRepository.findByUsername(info.getSubject()).orElseThrow(() ->
new NullPointerException("Not Found User")
);
request.setAttribute("user", user);
chain.doFilter(request, response); // 다음 Filter 로 이동
} else {
throw new IllegalArgumentException("Not Found Token");
}
}
}
}
- httpServletRequest.getRequestURI() 요청 URL을 가져와서 구분합니다. (인가)
- "/api/user", "/css", "/js" 로 시작하는 URL은 인증 처리에서 제외 시킵니다.
- 그 외 URL은 인증 처리를 진행합니다.
- jwtUtil.getTokenFromRequest(httpServletRequest);
- httpServletRequest 에서 Cookie 목록을 가져와 JWT가 저장된 Cookie를 찾습니다.
- jwtUtil.getTokenFromRequest(httpServletRequest);
- tokenValue가 존재하면 토큰 파싱, 검증을 진행하고 사용자 정보를 가져옵니다.
- 가져온 사용자 username을 사용해서 DB에 사용자가 존재하는지 확인하고 존재하면 인증이 완료된 것입니다.
- 사용자 정보가 필요한 Controller API에 인증 완료된 User 객체를 전달해 줍니다.
getTokenFromRequest 메서드
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
// HttpServletRequest 에서 Cookie Value : JWT 가져오기
public String getTokenFromRequest(HttpServletRequest req) {
Cookie[] cookies = req.getCookies();
if(cookies != null) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals(AUTHORIZATION_HEADER)) {
try {
return URLDecoder.decode(cookie.getValue(), "UTF-8"); // Encode 되어 넘어간 Value 다시 Decode
} catch (UnsupportedEncodingException e) {
return null;
}
}
}
}
return null;
}
Filter에서 전달하는 User 객체를 Controller 에서 다음과 같이 받을 수 있습니다.
@Controller
@RequestMapping("/api")
public class ProductController {
@GetMapping("/products")
public String getProducts(HttpServletRequest req) {
System.out.println("ProductController.getProducts : 인증 완료");
User user = (User) req.getAttribute("user");
System.out.println("user.getUsername() = " + user.getUsername());
return "redirect:/";
}
}'Spring > 팀스파르타' 카테고리의 다른 글
| 31. Spring Security: JWT 로그인 (0) | 2024.11.21 |
|---|---|
| 30. Spring Security 로그인 (1) | 2024.11.20 |
| 27. JWT 다루기 (1) | 2024.11.15 |
| 26. 쿠키와 세션이란 무엇일까? (0) | 2024.11.13 |
| 25. 인증과 인가란 무엇일까? (1) | 2024.11.12 |