스프링 숙련 3주차 : 필터

필터

• Filter란 웹 애플리케이션에서 관리되는 영역으로 Client로부터 오는 요청과 응답에 대해 최초/최종 단계의 위치이며, 이를 통해 요청과 응답의 정보를 변경하거나 부가적인 기능 추가 가능
• 주로 범용적으로 처리해야 하는 작업들, 예를 들어 로깅 및 보안 처리에 활용
  • 또한 인증, 인가가 관련된 로직들을 처리 가능
  • Filter를 사용하면 인증, 인가와 관련된 로직을 비즈니스 로직과 분리하여 관리할 수 있다는 장점 존재

Filter Chain

• 필터는 여러 개가 Chain 형식으로 묶여서 처리 가능

필터 적용

요청 URL의 인가 처리 및 인증 처리 진행하는 필터 구현
추가로 요청 URL을 로깅해주는 필터 구현

• Request URL Logging

  @Slf4j(topic = "LoggingFilter")
  @Component
  @Order(1)
  public class LoggingFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        //전처리
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String url = httpServletRequest.getRequestURI();
        log.info(url);
  
        chain.doFilter(request, response); // 다음 필터로 이동
  
        // 후처리
        log.info("비즈니스 로직 완료");
    }
  }

  • @Order(1) : 필터 순서 지정
  • chain.doFilter(rquest, response); : 다음 필터로 이동
  • log.info("비즈니스 로직 완료"); : 작업이 완료된 후에 client에 응답 전 로그가 작성된 것을 확인 가능

• AuthFilter : 인증 및 인가 처리 필터

  package com.example.springmasterlecture.filter;
  

import com.example.springmasterlecture.entity.User;
import com.example.springmasterlecture.jwt.JwtUtil;
import com.example.springmasterlecture.repository.UserRepository;
import io.jsonwebtoken.Claims;
import jakarta.servlet.*;
import jakarta.servlet.http.HttpServletRequest;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import java.io.IOException;

@Slf4j(topic = "AuthFilter")
@Component
@Order(2)
@RequiredArgsConstructor
public class AuthFilter implements Filter {

private final UserRepository userRepository;
private final JwtUtil jwtUtil;

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest httpServletRequest = (HttpServletRequest) request;
    String url = httpServletRequest.getRequestURI();

    if (StringUtils.hasText(url) && (url.startsWith("/api/user") || url.startsWith("/css") || url.startsWith("/js"))) {
        chain.doFilter(request, response);
    } else {
        String tokenValue = jwtUtil.getTokenFromRequest(httpServletRequest);

        if (StringUtils.hasText(tokenValue)) {
            String token = jwtUtil.substringToken(tokenValue);

            if (!jwtUtil.validateToken(token)) {
                throw new IllegalArgumentException("Token Error");
            }

            Claims info = jwtUtil.getUserInfoFromToken(token);

            User user = userRepository.findByUsername(info.getSubject()).orElseThrow(
                    () -> new NullPointerException("Not Found User")
            );

            request.setAttribute("user", user);
            chain.doFilter(request, response);
        } else {
            throw new IllegalArgumentException("Not Found Token");
        }
    }
}

}

    - `httpServletRequest.getRequestURI()` : 요청 URL을 가져와서 구분 (인가)
        - `/api/user`, `/css`, `/js` 로 시작하는 url은 인증 처리에서 제외
    - 그 외 url은 인증 처리 진행
        - `jwtUtil.getTokenFromRequest(httpServletRequest)`
            - `httpServletRequest` 에서 쿠키 목록을 가져와 JWT가 저장된 쿠키 찾음
        - tokenValue가 존재하면 토큰 파싱, 검증을 진행하고 사용자 정보 가져옴
        - 가져온 사용자 username을 사용해서 DB에 사용자가 존재하는지 확인하고 존재하면 인증 완료
        - 사용자 정보가 필요한 Controller API에 인증 완료된 User 객체 전달