Spring Login#2 필터, 인터셉터, ArugmentResolver

2021.08.29 - [Backend/Spring MVC] - Spring Login#1 쿠키와 세션

Spring Login#1 쿠키와 세션

 

 

# 서블릿 필터와 공통관심사항

앞에서 만든 로그인 예제는 '홈 화면'만 로그인 상태에 따라 다른 페이지를 보여줬었다. 하지만 실제 서비스에서는 모든 페이지에서 로그인이 유지되어야한다. ➡ 세션을 사용하는 코드를 모든 컨트롤러에 적용시켜야한다.

• 이렇게 모든 곳에 적용되는 '공통 관심사항' 로직을 분리하기 위해서 서블릿에서는 필터 기능을 제공한다.
  2021.07.18 - [Backend/Java] - #17 Servlet Filter

이렇게 필터 객체를 따로 만들어서 모든 서블릿에 공통 로직을 적용시킬 수 있다.

// Filter 인터페이스는 Servlet과 비슷하게 사용할 수 있다.
package javax.servlet;
 
import java.io.IOException;
 
public interface Filter {
 
    // 싱글턴을 구현하지는 않으나, 보통 1개의 객체만을 생성해서 사용한다.
    // 원한다면 web.xml의 설정에 따라 여러개의 인스턴스를 가질 수도 있다.
    public void init(FilterConfig filterConfig) throws ServletException;
    
    // 클라이언트의 요청이 들어오면, 요청/응답을 조작하고
    // FilterChain을 이용해 조작 이후 원래 목적지인 서블릿으로 전달한다.
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException; 
 
    public void destroy();
}

서블릿의 필터를 스프링의 AOP로 직접 만들 수 있겠지만, AOP는 웹과 관련된 도구가 아니라서 사용하기 불편하다. 그래서 스프링 인터셉터를 따로 제공한다. 인터셉터는 서블릿 필터와 마찬가지로 HttpServletRequest를 사용할 수 있게 만들어준다.

 

참고로 HTTP 요청 로그에 세션ID를 함께 남기고 싶다면 [필터, 인터셉터] 대신에 logback mdc를 사용할 수 있다.

---

# 서블릿 필터를 이용한 세션유지

과거에는 서블릿 필터를 이용해서 세션유지라는 공통 관심사항을 적용시켰었다.

사용법은 해당 링크에 자세히 다루고 있으므로 생략하도록 하겠다. 아래의 예제처럼 쓰면 된다.

@WebServlet(name = "loadAppConfig", urlPatterns = { "/loadConfig" }, loadOnStartup = 1)
public class LoggingFilter implements Filter {
 
    // 필터 객체가 생성될 때 초기화시 사용
    // config 객체에서 필터 정보, 주어진 파라메타, 서블릿 정보등를 얻을 수 있다.
    public void init(FilterConfig config) throws ServletException {
        System.out.println("필터 초기화 됨");
    }
    
    //요청시마다 필터가 실행할 메서드
    public void doFilter(ServletRequest request, ServletResponse  response, FilterChain chain)
            throws IOException, ServletException {
        System.out.println("요청이 필터에서 처리됨");
        chain.doFilter(request, response); // 조작을 완료한 요청/응답을 반환.
        System.out.println("응답이 필터에서 처리됨");
    }
 
    //필터 객체가 제거될 때 실행
    public void destroy() {
        System.out.println("필터 제거됨.");
    }
}

 

만약 서블릿 필터를 스프링 빈으로 등록해 사용하고 싶다면, 아래와 같이 초기화 할 수 있다.

// 컴포넌트 자동스캔을 하는 방법
@ServletComponentScan
@WebServlet(name = "loadAppConfig", urlPatterns = { "/*" }, loadOnStartup = 1)
public Class LogFilter{ ... }

// FilterRegistrationBean 를 이용해서 수동으로 등록하는 방법
// 물론 필터 객체를 그대로 등록해도 상관없지만, 사용하면 다양한 기능을 사용할 수 있다.
import org.springframework.boot.web.servlet.FilterRegistrationBean;

@Configuration
public class WebConfig {
  @Bean
  public FilterRegistrationBean logFilter() {
    FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
    
    filterRegistrationBean.setFilter(new LogFilter());
    filterRegistrationBean.setOrder(1); // 필터에서는 안되는 체인 순서 지정도 가능
    filterRegistrationBean.addUrlPatterns("/*"); // 필터를 적용할 URL 규칙 추가
    return filterRegistrationBean;
  }
}

 

이렇게 사용할 일은 없겠지만, 스프링에서 필터를 쓴다면 아래와 같이 구현하면 된다.

📑 LoginCheckFilter

@Slf4j
public class LoginCheckFilter implements Filter {

  // 로그인이 필요없는 URL 모음 (whiteList)
  private static final String[] whitelist = {"/", "/members/add", "/login", "/logout", "/css/*"};

  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException {

    HttpServletRequest httpRequest = (HttpServletRequest) request;
    String requestURI = httpRequest.getRequestURI();

    HttpServletResponse httpResponse = (HttpServletResponse) response;

    try {
      log.info("인증 체크 필터 시작 {}", requestURI);

      if (isLoginWhitelistPath(requestURI)) { // 로그인이 필요한 페이지 접속
        HttpSession session = httpRequest.getSession(false);
        if (session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null) {
          // 미인증 사용자 요청 -> 로그인으로 redirect
          httpResponse.sendRedirect("/login?redirectURL=" + requestURI);
          return;
        }
      }
      
      chain.doFilter(request, response);
    } catch (Exception e) {
      throw e; //예외처리 & 로깅 가능하지만, 톰캣까지 예외를 보내주어야 함
    } finally {
      log.info("인증 체크 필터 종료 {} ", requestURI);
    }
  }

  // 화이트 리스트 URL의 경우 인증 체크X
  private boolean isLoginWhitelistPath(String requestURI) {
    // 스프링의 PatternMatchUtils를 사용. 이를 직접 구현하면 코드가 매우 복잡해진다.
    return !PatternMatchUtils.simpleMatch(whitelist, requestURI);
  }
}

 

그리고 필터에서 Request에 리다이렉트할 URL을 추가해주면 아래와 같이 만들 수 있다.

• 로그인을 성공하면 홈 화면으로 보내는게 아니라, 기존에 보던 URL로 보내준다.

  @PostMapping("/login")
  public String loginV4(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult,
      @RequestParam(defaultValue = "/") String redirectURL, // redirectURL을 필터에서 받아옴
      HttpServletRequest request) {

    // ... 기존 코드와 동일 ... //

    return "redirect:" + redirectURL;
  }

 

---

# 스프링 인터셉터란?

서블릿은 자바 웹 표준에서 제공하는 기능이라면, 인터셉터는 스프링 MVC에서만 제공하는 기능이다.

스프링 MVC 에서 사용하는 서블릿은 Dispatcher Servlet 밖에 없다. (프론트 컨트롤러 패턴)

 

스프링 인터셉터를 사용하려면 HandlerInterceptor 인터페이스를 구현하면 된다.

public interface HandlerInterceptor {
    
  // 컨트롤러 요청 전
  default boolean preHandle(HttpServletRequest request, HttpServletResponse response,
      Object handler) throws Exception {
  }

  // 컨트롤러 호출 이후 (뷰에 전달할 Model 객체 제공)
  default void postHandle(HttpServletRequest request, HttpServletResponse response,
      Object handler, @Nullable ModelAndView modelAndView)
      throws Exception {
  }

  // 완전하게 HTTP 요청이 끝난 이후 (Exception 제공)
  default void afterCompletion(HttpServletRequest request, HttpServletResponse response,
      Object handler, @Nullable Exception ex) throws
      Exception {
  }
}

• preHandle 는 컨트롤러에 가기전에 호출되는 메서드이다.
   ➡ preHandle 반환 값이 true 이면 다음 인터셉터를 호출하고, false이면 컨트롤러를 바로 호출한다.
• postHandle 는 컨트롤러의 return 이후 호출되는 메서드이다.
   ➡ 뷰에 전달할 Model을 조작할 수 있다.
• afterCompletion 은 HTML 뷰가 렌더링된 이후 호출되는 메서드이다.

 

• postHandle 는 컨트롤러에 예외가 발생하면 호출되지 않지만 afterCompletion은 예외와 상관없이 항상 호출된다.

그래서 afterCompletion은 무슨 예외가 터졌는지 파라메타로 받을 수 있다. (예외가 없다면 null)

 

---

# 스프링 인터셉터 등록방법

@ 1. 인터셉터 객체 만들기

서블릿 필터와 비슷하게 사용할 수 있다. HandlerInterceptor 인터페이스를 구현하면 된다.

• 인터셉터 또한 스프링 빈으로 등록된다. 즉 싱글톤이므로 클래스 내에 필드(상태값)을 사용해서는 안된다.

@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {

  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
      throws Exception {

    String requestURI = request.getRequestURI();

    log.info("인증 체크 인터셉터 실행 {}", requestURI);

    HttpSession session = request.getSession();

    if (session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null) {
      // 미인증 사용자 요청 -> 로그인으로 redirect
      response.sendRedirect("/login?redirectURL=" + requestURI);
      return false; // 컨트롤러 실행
    }

    return true; // 다음 인터셉터 실행
  }
}

 

참고로 preHandle(... Object handler )는 스프링MVC가 사용하는 핸들러의 모든 정보를 담고있다.

• HandlerMethod로 캐스팅하면 컨트롤러 빈 객체와 RequestMapping 메서드 정보를 얻을 수 있다.
• ResourceHttpRequestHandler로 캐스팅하면 요청 HTTP 헤더와 같은 정적 리소스 정보를 얻을 수 있다.

Object handler를 캐스팅하여 Dispatcher Servlet이 사용하는 정보를 모두 가져올 수 있다.

 

• Object handler가 어떻게 생성된건지 이해하려면 스프링 MVC의 Dispatcher Servlet의 동작을 이해하면 된다.
  ➡ Dispatcher Servlet 에서 URI 요청에 맞는 핸들러를 찾고, 핸들러 어댑터로 컨트롤러를 실행한다.
  ➡ (Object handler) 는 선택된 컨트롤러 객체와 컨트롤러 객체에 전달할 HTTP 요청데이터를 가지고 있다. 

// Dispatcher Servlet의 서비스 메서드    
  @Override
  protected void service(HttpServletRequest request, HttpServletResponse response)
      throws ServletException, IOException {

    Object handler = getHandler(request); // URL를 이용해 컨트롤러 객체(handler)를 찾아 등록함
    
    if (handler == null) {
      response.setStatus(HttpServletResponse.SC_NOT_FOUND);
      return;
    }
    
    MyHandlerAdapter adapter = getHandlerAdapter(handler); // 해당 컨트롤러 객체의 어댑터를 찾음
      
    // 어댑터가 request, response 객체를 컨트롤러 파라메타 모양에 맞춰서 제공함  
    ModelView mv = adapter.handle(request, response, handler);
    // 또한 어댑터가 여러가지 형태의 반환값을 동일하게 처리하도록 만듬
    // [컨트롤러가 뷰의 이름 "name"을 반환], [모델객체(ModelAndView)를 반환]
      
    MyView view = viewResolver(mv.getViewName()); 
    view.render(mv.getModel(), request, response);
  }

 

• 핸들러와 핸들러 어댑터의 코드를 간단하게 구현하면 아래와 같다. (실제로는 더 복잡하다.)
  ➡ 핸들러에서 컨트롤러 객체는 [스프링의 HandlerMapping 객체]에 의해 매칭된다.
  ➡ 핸들러 어댑터에서 파라메타는 [스프링의 Arugment Resolver 객체]에 의해 매칭된다.
  ➡ 핸들러 어댑터에서 반환값은 [스프링의 ReturnValue Resolver 객체]에 의해 매칭된다.
  ➡ 컨트롤러가 Model을 반환하면 [스프링의 ViewResolver 객체]가 필요한 View 객체를 찾아준다.

  private Object getHandler(HttpServletRequest request) {
    String requestURI = request.getRequestURI();
    return handlerMappingMap.get(requestURI); // 해당 URL를 처리할 수 있는 핸들러(Controller)를 찾음
  }

  private MyHandlerAdapter getHandlerAdapter(Object handler) {
    // handler(=컨트롤러)가 정해졌다면 컨트롤러가 사용하는 [파라메타, 반환값] 형태를 지원하는 어댑터를 찾음.
    // 어댑터가 request, response 등의 정보를 이용해서 파라메타를 생성함. 
    for (MyHandlerAdapter adapter : handlerAdapters) {
      if (adapter.supports(handler)) { // (handler instanceof 어댑터)가 true인 어댑터를 찾음;
        return adapter;
      }
  }

 

---

@ 2. 인터셉터를 스프링 빈으로 등록 & 설정하기

• 인터셉터도 필터와 마찬가지로 다양한 설정을 해줄 수 있다. 사용법도 비슷한 편이다. (조금 다르다)
   ➡ @Configuration 객체에서 WebMvcConfigurer 인터페이스를 사용하면 인터셉터를 쉽게 등록할 수 있다.

@Configuration
public class WebConfig implements WebMvcConfigurer {
  
  @Override // WebMvcConfigurer.addInterceptors(...)
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new LogInterceptor())
        .order(1) // 인터셉터 순서 지정
        .addPathPatterns("/**") // 인터셉터를 적용할 URL 패턴
        .excludePathPatterns("/css/**", "/*.ico", "/error"); // 인터셉터 제외 패턴

    registry.addInterceptor(new LoginCheckInterceptor())
        .order(2)
        .addPathPatterns("/**")
        .excludePathPatterns("/", "/members/add", "/login", "/logout",
            "/css/**", "/*.ico", "/error");
  }

}

 

• 참고로 스프링 인터셉터에서는 서블릿 필터와 다른 문법으로 매우 상세한 url pattern 매칭을 제공해준다.

 

---

# 꿀팁. 인터셉터처럼 ArgumentResolver 활용하기

• 인터셉터에서 유일하게 접근, 조작하지 못하는 것이 컨트롤러 메서드에 주어지는 파라메타였다.
• 인터셉터에 주어지는 request, response 자체를 조작하는건 불가능하게 막혀있다.
  물론 필터에서 filter.chain(...)에 넘기는 request 자체를 바꿔치기하는 방법이 있긴한데...말이 되는소리를 하자
   ➡ 스프링에서는 HandlerMethodArgumentResolver 를 이용해, ArgumentResolver를 오버라이딩 할 수 있다.
   ➡ 이를 이용해서 인터셉터에서 하지못한 파라메타 조작을 구현할 수 있다.

물론 간단한 웹 서비스에서 이렇게까지 할 필요는 없지만, 서비스가 커진다면 ArugmentResolver를 이용해 전용 어노테이션을 하나 만들어서 매우 편리하게 사용 가능하다. 아래 예제를 통해 알아보자.

 

---

@1. 나만의 어노테이션 (@Login) 정의하기

Member 객체에 @Login를 달면 아래와 같이 세션값을 받아오도록 ArugmentResolver를 만들어보자.

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME) // 런타임으로 해줘야 리졸버가 작동한다.
public @interface Login { // 내가 직접 만든 @Login 어노테이션
}

 

• HTTP Request에서 브라우저에 전송된 세션(HttpSession, 쿠키)를 받아온다.
• 해당 세션에 loginMember 데이터가 있다면 이를 반환한다.
• 해당 세션에 loginMember 데이터가 없다면 null을 반환한다. 

@GetMapping("/") /* 스프링의 @SessionAttribute 를 사용하는 방법 */
  public String homeLoginSpring(
      @SessionAttribute(name = SessionConst.LOGIN_MEMBER, required = false) Member loginMember,
      Model model) {

    //세션에 회원 데이터가 없으면 home
    if (loginMember == null) { return "home";}

    //세션이 유지되면 로그인으로 이동
    model.addAttribute("member", loginMember);
    return "loginHome";
  }

@GetMapping("/") /* 내가 만든 ArugmentResolver를 이용해 @Login 태그를 만들어 사용하는 방법 */
  public String homeLoginArgumentResolver(@Login Member loginMember, Model model) {

    //세션에 회원 데이터가 없으면 home
    if (loginMember == null) {
      return "home";
    }

    //세션이 유지되면 로그인으로 이동
    model.addAttribute("member", loginMember);
    return "loginHome";
  }

 

---

@ 2. 해당 어노테이션을 처리하는 ArugmentResolver 구현하기

• HandlerMethodArgumentResolver 인터페이스를 이용하면 손쉽게 구현할 수 있다.
   ➡ supportsParameter(...)를 이용해서 해당 리졸버를 적용할 파라메타를 정의한다. (반환값이 true인 경우에만 적용)
   ➡ resolverArgument(...) 를 이용해서 해당 파라메타에 어떠한 값을 넣어줄건지 정의한다. 

@Slf4j
public class LoginMemberArgumentResolver implements HandlerMethodArgumentResolver {

  @Override
  public boolean supportsParameter(MethodParameter parameter) {
    // 파라메타에 @Login 어노테이션이 달렸는지 여부
    boolean hasLoginAnnotation = parameter.hasParameterAnnotation(Login.class);
    
    // 파라메타의 타입이 Member로 바인딩 가능한지 여부 (isAssignableFrom)
    boolean hasMemberType = Member.class.isAssignableFrom(parameter.getParameterType());

    return hasLoginAnnotation && hasMemberType; // true인 경우에만 resolveArgument() 실행
  }

  @Override
  public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
      NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {

    // Resolver에서 requset 객체를 받아오는 방법
    HttpServletRequest request = (HttpServletRequest) webRequest.getNativeRequest();
    
    // HttpSession 객체를 받아와서 해당 멤버의 세션ID를 조회한다.
    HttpSession session = request.getSession(false);
    
    // 세션이 없다면 null, 있다면 현재 Login_member 세션값 전체를 반환한다.
    if (session == null) {
      return null;
    }

    return session.getAttribute(SessionConst.LOGIN_MEMBER);
  }
}


// 참고로 SessionConst는 우리가 예제에서 직접만든 상수용 객체이다. 스프링 객체가 아니다
public class SessionConst {
    public static final String LOGIN_MEMBER = "loginMember";
}

 

• 이렇게 만든 ArugmentResolver는 아래와 같이 추가할 수 있다.
   ➡ @Configuration 객체에 WebMvcConfigurer를 상속받아 추가한다. 인터셉터 추가와 비슷하다.

@Configuration
public class WebConfig implements WebMvcConfigurer {

  @Override // 내가 만든 @Login 과 ArgumentResolver 등록
  public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
    resolvers.add(new LoginMemberArgumentResolver());
  }

  @Override // 인터셉터 등록
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new LogInterceptor())
        .order(1)
        .addPathPatterns("/**")
        .excludePathPatterns("/css/**", "/*.ico", "/error");

    registry.addInterceptor(new LoginCheckInterceptor())
        .order(2)
        .addPathPatterns("/**")
        .excludePathPatterns("/", "/members/add", "/login", "/logout",
            "/css/**", "/*.ico", "/error");
  }

}