[Spring] 서블릿 필터, 스프링 인터셉터, 어노테이션으로 로그인 검증하기

김영한 님의 '스프링 MVC 2편 - 백엔드 웹 개발 활용 기술'을 보고 정리한 글입니다 😊

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 - 인프런 | 강의

---

지난 포스팅과 이어집니다 :D

[Spring] 상품 관리 시스템에 회원가입 / 로그인 처리 로직 추가하기, 쿠키를 통한 식별 처리

---

 

| 서블릿 필터 적용하기 

- 지난 포스팅까지 진행한 상품 관리 웹 사이트는 세션을 통해 로그인, 로그아웃이 매우 잘 동작한다.

- 그러나, 로그인하지 않은 사용자이더라도 'URL'을 통해서 상품 리스트에 접근할 수 있다는 단점이 있다.

- 이러한 '공통 관심사'를 해결하기 위해서, 서블릿 필터를 사용해보자.

 

🚩 HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 컨트롤러

- 필터를 적용하면 필터 호출 후 서블릿이 호출되기 때문에, 필터에 특정 URL 패턴을 적용하여 필터를 적용할 수 있다.

- 필터에서 요청이 적절하지 않다고 판단하면 서블릿까지 호출을 안 시킬 수 있다!

- 또한, 필터는 자유롭게 추가할 수 있다!

- ⭐참고로, 필터의 경우 인터셉터와 다르게 아예 Spring Context의 바깥부분에서 실행된다!

 

✔ Filter

- init() : 필터 초기화 메서드. 서블릿 컨테이너 생성 시 호출

- doFilter() : 요청이 들어올 때마다 호출. 필터의 실질적인 로직 구현부.

- destroy() : 필터 종료 메서드. 서블릿 컨테이너 종료 시 호출.

 

[LoginCheckFilter.java]

- 로그인 인증 필터 구현하기

public class LoginCheckFilter implements Filter {

    private static final String[] whiteList
            = {"/login/", "/login/members/add", "/login/members/login", "/login/members/logout", "/css/*"};

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        String requestURI = httpRequest.getRequestURI();
        try {
            // whiteList 제외한 나머지 url에서 검증 시작
            if(!PatternMatchUtils.simpleMatch(whiteList, requestURI)) {
                HttpSession session = httpRequest.getSession(false);
                if(session == null || session.getAttribute("loginMember") == null) {
                    httpResponse.sendRedirect("/login/members/login?redirectURL="+ requestURI);
                    return; // 더 이상 진행 X
                }
            }
            // 다음 체인으로 이동 (없으면 서블릿으로)
            chain.doFilter(request, response);
        } catch (Exception e) {
            throw e;
        }
    }

}

- 메인 화면, 로그인, 회원가입 화면에서는 로그인이 안 되어 있어도 보여져야 하기 때문에 whiteList에 추가하였다.

- 만약 session이 없거나, session 내부에 loginMember 객체가 없으면 로그인 화면으로 리다이렉트한다.

- ⭐ 이때, httpResponse.sendRedirect("") 시 쿼리 파라미터로 redirectURL을 넣어주어서, 로그인 이후 사용자가 다시 접속했던 페이지로 들어올 수 있도록 함께 보내준다! (물론 따로 이에 대해서 처리를 해줘야 한다) 

- 또한, return;을 걸어주어서 더 이상 진행되지 않도록 한다. (물론 하위 chain.doFilter를 else 문으로 걸어도 동일하긴 하지만 이게 더 깔끔하다)

 

[WebMvcConfig.java] 

@Bean
public FilterRegistrationBean loginCheckFilter() {
    FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
    filterRegistrationBean.setFilter(new LoginCheckFilter());
    filterRegistrationBean.setOrder(1);
    filterRegistrationBean.addUrlPatterns("/*");
    return filterRegistrationBean;
}

- 모든 요청에 대해서 필터가 적용되도록 /*로 경로를 지정하고, 순서 역시 가장 먼저 진행해주었다.

(강의에서는 로그 필터를 적용했지만, 로그는 나중에 AOP를 통해 설정하는 게 나을 것 같아서)

 

[LMemberController.java]

@PostMapping("/login")
public String login(@Valid @ModelAttribute("loginForm") LMemberLoginRequest loginRequest,
                    @RequestParam(defaultValue = "/login/") String redirectURL,
                    BindingResult bindingResult, HttpServletRequest request) {
    if(bindingResult.hasErrors()) {
        return "login/members/loginForm";
    }

    LMember loginMember = service.login(loginRequest);
    if(loginMember == null) {
        bindingResult.reject("loginFail", "아이디 또는 비밀번호가 일치하지 않습니다.");
        return "login/members/loginForm";
    }

    HttpSession session = request.getSession();
    session.setAttribute("loginMember", loginMember);
    return "redirect:" + redirectURL;
}

- 필터에서 보낸 쿼리 파라미터(redirectURL) 값을 받아서 로그인 시 해당 url로 넘어가도록 진행해준다.

- 물론, 그냥 바로 로그인한 사용자의 경우 쿼리 파라미터 값이 없을 테니 defaultValue인 /login/로 설정되어 홈 화면으로 이동한다.

---

| 스프링 인터셉터

🚩 HTTP 요청 -> WAS -> 필터 -> 서블릿  -> 스프링 인터셉터 -> 컨트롤러

- 스프링 인터셉터는 서블릿과(스프링에서는 DispatcherServlet) 컨트롤러 사이에서 호출된다.

- 인터셉터는 사용자의 요청이 적절하지 않다고 판단하면 컨트롤러로 요청을 보내지 않고 인터셉터에서 끝을 낸다.

- 마찬가지로 자유롭게 인터셉터 여러 개를 추가할 수 있다.

 

- 인터셉터 사용을 위해서는 HandlerInterceptor 인터페이스를 구현한다.

    -⭐ preHandle (컨트롤러 호출 전), postHandler (컨트롤러 호출 후), afterCompletion(요청 완료 이후)

- 서블릿 필터는 HttpServletRequest/Response만 제공하지만, 인터셉터는 Handler 정보도 받을 수 있다.

    - 또한, 추가적으로 ModelAndView나 Exception 정보도 받을 수 있다!

 

✔ 코드 확인

public interface HandlerInterceptor {
	default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {

		return true;
	}
    
	default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			@Nullable ModelAndView modelAndView) throws Exception {
	}

	default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
			@Nullable Exception ex) throws Exception {
	}
}

- postHandle에서는 ModelAndView를, afterCompletion에서는 Exception 정보를 받을 수 있다.

 

 

📑 cf) 필터와 인터셉터의 차이는 다음 블로그에 정말 잘 정리되어 있다...!

[Spring] 필터(Filter) vs 인터셉터(Interceptor) 차이 및 용도 - (1)

 

✔ 호출 흐름

- 사용자의 요청 -> Dispatcher Servlet

-> preHandle() 호출 -- (true 반환) // false라면 다음 단계 진행 X

--> 핸들러 어댑터

-> 핸들러 -- (ModelAndView 반환)

-> 받았던 modelAndView, 그리고 핸들러 정보와 함께 postHandle() 호출  

-> view를 통한 렌더링 진행 (render(model))

-> afterCompletion() 호출

 

✔ 예외가 발생했을 경우

- 요청 -> Dispatcher Servlet

-> preHandle() 호출 -- (true 반환) // false라면 다음 단계 진행 X

--> 핸들러 어댑터

-> 핸들러 -- 예외 발생

-> 다시 핸들러 어댑터로 돌아오면서 예외가 함께 전달

-> 이때, Dispatcher Servlet에 예외가 들어오면 postHandle 호출 X

-> afterCompletion 호출 (예외 유무랑 상관 X) -- 그래서 파라미터로 예외 정보를 받아서 출력 가능

 

인터셉터는 addPathPatterns, excludePathPatterns으로 인터셉터를 등록할 패턴, 제외할 패턴을 등록할 수 있다.

- 필터는 addUrlPatterns으로 추가해줄 수 있었는데, 이때 패턴을 등록하는 규칙 역시 다르다.

 

필터는 지역변수를 선언하여 공통적으로 값을 접근할 수 있지만, 인터셉터는 요청마다 적용되는 것이기 때문에 지역변수 사용이 안 된다.

- 그래서 preHandle <=> postHandle 등으로 데이터를 전달할 때는 request.setAttribute / getAttribute를 통해 요청에 넣어두고 서로 접근하면 된다.

 

[LoginCheckInterceptor.java]

public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String requestURI = request.getRequestURI();
        HttpSession session = request.getSession(false);
        if(session == null || session.getAttribute("loginMember") == null) {
            response.sendRedirect("/login/members/login?redirectURL="+ requestURI);
            return false;
        }
        return true;
    }
}

- 필터와 다르게 whiteList 검증 같은 걸 인터셉터 단위에서 하지 않아도 된다.

- 나중에 인터셉터를 등록할 때 이에 대해 적용해주면 된다.

- 로그인은 컨트롤러로 요청이 들어가기 전에 해야 되는 것이니까 preHandle만 구현해준다.

 

[WebMvcConfig.java]

@Override
public void addInterceptors(InterceptorRegistry registry) {
    ...
    registry.addInterceptor(new LoginCheckInterceptor())
            .addPathPatterns("/login", "/basic/items")
            .excludePathPatterns("/login/", "/login/members/add", 
                    "/login/members/login", "/login/members/logout", "/css/*");
}

- 다음과 같이 인터셉터를 추가해준다. excludePathPattern에 whiteList에 있던 경로들을 적어주면 된다.

 

---

| ArgumentResolver를 활용한 로그인 확인 기능

[Login.java] - 커스텀 어노테이션

@Target(value = ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface Login {
}

[LoginMemberArgumentResolver.java]

public class LoginMemberArgumentResolver implements HandlerMethodArgumentResolver {
    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        boolean hasParameterAnnotation = parameter.hasParameterAnnotation(Login.class);
        boolean hasMemberType = LMember.class.isAssignableFrom(parameter.getParameterType());
        return hasParameterAnnotation && hasMemberType;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        HttpServletRequest request = (HttpServletRequest) webRequest;
        HttpSession session = request.getSession(false);
        if(session == null) {
            return null;
        }
        return session.getAttribute("loginMember");
    }
}

- 만들어준 어노테이션에 대한 리졸버를 생성한다.

- supportParameter는 파라미터에 붙은 어노테이션과 어노테이션에 붙은 파라미터 타입에 대한 검증을 진행하고,

resolveArgument는 실질적으로 해당 어노테이션이 처리할 일을 명시해준다. (마찬가지로 그냥 세션 검증을 진행한다) 

 

[LHomeController.java]

@Controller
@RequiredArgsConstructor
@RequestMapping("/login")
public class LHomeController {
    @GetMapping("/")
    public String home(
            @Login LMember loginMember,
            Model model) {

        if (loginMember == null) {
            return "login/home";
        }
        model.addAttribute("member", loginMember);
        return "login/loginHome";
    }
}

- 만들어준 어노테이션을 컨트롤러의 파라미터에 붙였다.

- 컨트롤러의 코드가 상당히 간단해지는 걸 볼 수 있다. 

- 이러면 해당 loginMember의 타입이 LMember형이라면 세션에서 "loginMember"의 값을 가져와서 loginMember에 넣어준다.

 

[WebMvcConfig.java]

@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
    resolvers.add(new LoginMemberArgumentResolver());
}

- 다음과 같이 만들어준 argumentResolver를 추가해준다.- 이렇게 로그인 처리를 진행하는 다양한 방법을 모색해보았다.

 

- 다음에는 예외 처리 및 오류 페이지 생성에 대해서 알아보자.