[Spring MVC] 서블릿 필터
공통 관심 사항
로그인 한 사용자만 특정 페이지에 들어갈 수 있어야 하지만, 아무것도 설정하지 않으면 로그인 하지 않은 사용자도 URL을 직접 호출하기만 하면 특정 페이지에 접근할 수 있다.
특정 컨트롤러에서 조건 여부를 확인해도 되지만, 로직이 변경될때마다 작성한 로직을 다 수정해야 할 수 있다.
이렇게 애플리케이션 여러 로직에서 공통으로 관심이 있는 것을 공통 관심사(cross-cutting concern)라고 한다.
공통 관심사는 스프링의 AOP로 해결할 수 있지만, 웹과 관련된 공통 관심사를 처리할 때는 HTTP의 헤더나 URL의 정보들이 필요하기 때문에 HttpServletRequest를 제공하는 서블릿 필터나 스프링 인터셉터를 사용하는 것이 좋다.
서블릿 필터 소개
필터 흐름
HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 컨트롤러
필터는 서블릿 전에 호출되기 때문에 모든 고객의 요청 로그를 남기는 요구사항이 있다면 필터를 사용하면 된다.
[참고]
필터는 특정 URL 패턴에 적용할 수 있는데,/*라고 하면 모든 요청에 필터가 적용된다.
스프링을 사용하는 경우 서블릿은 스프링의 DispatcherServlet으로 보면 된다.
필터 제한
HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 컨트롤러 // 로그인 사용자
HTTP 요청 -> WAS -> 필터(적절하지 않은 요청, 서블릿 호출 X) // 비 로그인 사용자
필터 체인
HTTP 요청 -> WAS -> 필터1 -> 필터2 -> 서블릿 -> 컨트롤러
필터는 중간에 자유롭게 추가할 수 있기 때문에 로그를 남기는 필터를 먼저 적용하고, 로그인 여부를 체크하는 필터를 만들 수 있다.
필터 인터페이스
public interface Filter {
public default void init(FilterConfig filterConfig) throws ServletException {}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException;
public default void destroy() {}
}
필터 인터페이스를 구현하고 등록하면 서블릿 컨테이너가 필터를 싱글톤 객체로 생성하고 관리.
init(): 필터 초기화 메서드, 서블릿 컨테이너가 생성될 때 호출.doFilter(): 사용자의 요청이 올 때 마다 호출. 여기에 필터의 로직 구현.destroy(): 필터 종료 메서드.
인증 체크
LoginCheckFilter
@Slf4j
public class LoginCheckFilter implements Filter {
private static final String[] whitelist = {
"/", "/members/add", "/login","/logout","/css/*"};
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
String requestURI = httpRequest.getRequestURI();
HttpServletResponse httpResponse = (HttpServletResponse) response;
try {
log.info("인증 체크 필터 시작 {}", requestURI);
if (isLoginCheckPath(requestURI)) {
log.info("인증 체크 로직 실행 {}", requestURI);
HttpSession session = httpRequest.getSession(false);
if (session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null) {
log.info("미인증 사용자 요청 {}", requestURI);
//로그인으로 redirect
httpResponse.sendRedirect("/login?redirectURL=" + requestURI);
return; // 미인증 사용자는 다음으로 진행하지 않고 끝!
}
}
chain.doFilter(request, response);
} catch (Exception e) {
throw e;
} finally {
log.info("인증 체크 필터 종료 {}", requestURI);
}
}
/**
* 화이트 리스트의 경우 인증 체크X
*/
private boolean isLoginCheckPath(String requestURI) {
return !PatternMatchUtils.simpleMatch(whitelist, requestURI);
}
}
- 필터를 사용하려면 필터 인터페이스를 구현해야 한다.
doFilter(...)- HTTP 요청이 오면
doFilter호출 ServletRequest는 HTTP 요청이 아닌 경우까지 고려해서 만든 인터페이스이므로, HTTP를 사용하면(HttpServletRequest) request와 같이 다운 캐스팅.
- HTTP 요청이 오면
chain.doFilter(request, response)- 다음 필터가 있으면 필터를 호출하고, 없으면 서블릿을 호출.
- 만약 이 로직이 없으면 다음 단계로 진행되지 않는다.
whitelist = {"/", "/members/add", "/login","/logout","/css/*"};- 홈, 회원가입, 로그인 화면, css 같은 리소스는 인증과 무관하게 항상 접근을 허용하며, 리스트를 제외한 나머지 모든 경로는 인증 체크 로직을 적용한다.
return;- 앞서
redirect를 사용했기 때문에redirect가 응답으로 적용되고 요청이 끝난다.
- 앞서
WebConfig
@Configuration
public class WebConfig {
@Bean
public FilterRegistrationBean loginCheckFilter() {
FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
filterRegistrationBean.setFilter(new LoginCheckFilter());
filterRegistrationBean.setOrder(2);
filterRegistrationBean.addUrlPatterns("/*");
return filterRegistrationBean;
}
}
스프링 부트를 사용한다면 FilterRegistrationBean을 사용해서 필터를 등록.
setFilter(new LoginCheckFilter()): 로그인 필터를 등록한다.setOrder(2): 2번 순서. 로그 필터 다음에 로그인 필터가 적용된다.addUrlPatterns("/*"): 모든 요청에 로그인 필터를 적용한다.
LoginController
@PostMapping("/login")
public String loginV4(
@Valid @ModelAttribute LoginForm form, BindingResult bindingResult
@RequestParam(defaultValue = "/") String redirectURL,
HttpServletRequest request) {
if(bindingResult.hasErrors()){
return "login/loginForm";
}
Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
if(loginMember == null){
bindingResult.reject("loginFail", "아이디 또는 비밀번호가 일지하지 않습니다.");
return "login/loginForm";
}
// 로그인 성공 처리
// 세션이 있으면 세션 반환, 없으면 신규 세션을 생성
HttpSession session = request.getSession();
// 세션에 로그인 회원 정보 보관
session.setAttribute(SessionConst.LOGIN_MEMBER, loginMember);
return "redirect:" + redirectURL;
}
정리
서블릿 필터를 활용한 덕분에 로그인 하지 않은 사용자는 일부를 제외한 경로에 들어갈 수 없게 되었다. 공통 관심사를 서블릿 필터를 사용해서 해결한 덕분에 향후 로그인 관련 정책이 변경되어도 이 부분만 변경하면 된다.
하지만, 서블릿 필터보다는 [스프링 인터셉터]를 많이 사용한다.
<출처 : 인프런 스프링 MVC 2편 - 백엔드 웹 개발 활용 기술(김영한)>
댓글남기기