Servlet Filter(서블릿 필터)

요구사항을 보면 로그인 한 사용자만 상품 관리 페이지에 들어갈 수 있어야 하는데, 로그인을 하지 않아도 URL을 통해 상품 관리 페이지에 접근할 수 있습니다. 

• http://localhost:8080/items

상품 관리 컨트롤러에서 로그인 여부를 체크하는 로직을 하나하나 작성하면 되겠지만, 등록, 수정, 삭제, 조회 등등 상품관리의 모든 컨트롤러 로직에 공통으로 로그인 여부를 확인해야 합니다. 새로운 로직이 생기기라도 한다면 또 로그인 여부를 체크하는 로직까지 생각해서 짜야합니다. 엄청 귀찮은 일입니다.

 

애플리케이션 여러 로직에서 공통으로 관심이 있는 것을 공통 관심사 라고 합니다.

공통 관심사는 스프링의 AOP - @Around 를 이용해서 해결할 수도 있지만, 웹과 관련된 공통 관심사는 서블릿 필터나 스프링 인터셉터를 사용하는 것이 좋습니다.

 

서블릿 필터

필터는 자바 표준 스펙에서 제공하는 기술입니다. 

필터를 적용 시

HTTP Request ▶︎ WAS ▶︎ 필터 ▶︎ 서블릿 ▶︎ 컨트롤러 

중간에 필터를 거쳐서 컨트롤러로 가게 됩니다. ( 여기서 서블릿은 DispatcherServlet ( FrontController ) )

필터에서 걸리게 되면 적절하지 않은 요청이라 판단해 서블릿을 호출하지 않게 됩니다.

+ 필터는 체인으로 구성되는데, 중간에 필터를 자유롭게 추가할 수 있습니다.

HTTP Request ▶︎ WAS ▶︎ 필터1 ▶︎ 필터2 ▶︎ 필터3 ▶︎ 서블릿 ▶︎ 컨트롤러 

필터 인터페이스

public interface Filter {

    public default void init(FilterConfig filterConfig) throws ServletException {}
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException;
    public default void destroy() {}
}

• init() : 필터 초기화 메소드, 서블릿 컨테이너가 생성될 때 호출됩니다.
• doFilter() : 필터의 로직을 구현하는 부분으로 로직 구현 이후 chain.doFilter(request,response) 필수 
• destroy() : 필터 종료 메소드, 서블릿 컨테이너가 종료될 때 호출합니다.

우선 먼저 요청에 대해 로그를 남기는 단순한 필터를 필터 인터페이스를 구현해서 사용해보도록 하겠습니다.

@Slf4j
public class LogFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("log filter init");
    }

    @Override
    public void destroy() {
        log.info("log filter destroy");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        log.info("log filter doFilter");
        HttpServletRequest httpRequest = (HttpServletRequest) request; // 다운 캐스팅
        String requestURI = httpRequest.getRequestURI();
        String uuid = UUID.randomUUID().toString();
        try
        {
            log.info("REQUEST [{}][{}]",uuid,requestURI);
            chain.doFilter(request,response);
        }catch(Exception e){
            throw e;
        }finally {
            log.info("RESPONSE [{}][{}]",uuid,requestURI);
        }
    }
}

• init()과 destroy()는 인터페이스에 default로 선언되어 있기 때문에 굳이 구현해 주지 않아도 됩니다.
• 중요한 부분은 doFilter(ServletRequest request , ServletResponse response, FilterChain chain) 입니다.
• ServletRequest, ServletResponse는 HttpServletRequest의 상위 인터페이스로 HTTP 요청,응답이 아닌 경우까지 고려해서 만든 인터페이스입니다.
• HTTP를 사용하면 HttpServletRequest, HttpServletResponse로 다운 캐스팅해서 사용하면 됩니다.
• try에서 요청에 대한 URI와 UUID를 얻어 로그에 남겨줍니다. ( 예외발생 시 별도의 예외처리를 해주진 않았습니다 )
  
  • 여기서 chain.doFilter(request,response)가 중요합니다.
  • 다음 필터가 있으면 필터를 호출. 필터가 없으면 서블릿을 호출. 만약 이 로직을 호출하지 않는다면 다음 단계로 진행하지 않기 떄문에 필수적으로 작성해 주어야 합니다.

 

필터를 적용하려면 어떻게 해야 할까요?

 

1. @Component로 자동 등록

@Component
@WebFilter("urlPatterns='/*")
public class LogFilter implements Filter {

자동 빈으로 등록하는 방법도 있지만 @WebFilter를 사용하지 않으면 urlPattern을 지정할 수 없기 때문에 기본적으로 모든 url 패턴에 전체에 적용이 됩니다. 단점은 필터가 여러개인 경우 순서지정이 불가능합니다.

 

2. FilterRegistrationBean을 사용해서 등록

- 수동으로 등록 @Configuration에 @Bean으로 FilterRegistrationBean을 등록하면 됩니다.

@Configuration
public class WebConfig {
    @Bean
    public FilterRegistrationBean logFilter()
    {
        FilterRegistrationBean<Filter> filterFilterRegistrationBean = new FilterRegistrationBean<>();
        filterFilterRegistrationBean.setFilter(new LogFilter());
        filterFilterRegistrationBean.setOrder(1);
        filterFilterRegistrationBean.addUrlPatterns("/*");

        return filterFilterRegistrationBean;
    }

• setFilter(new LogFilter())로 등록할 필터 지정. 
• setOrder(1): 필터는 체인으로 동작하기 때문에 순서가 필요합니다. 낮을수록 먼저 동작
• addUrlPatterns(): 필터를 적용할 URL 패턴을 지정. 한번에 여러 패턴도 지정할 수 있습니다.

 

그 외의 필터 설정 방법은 아래를 참고하시면 좋을 것 같습니다.

https://jronin.tistory.com/124

[Spring boot] Filter 설정

 

이제 필터를 기반으로 로그인한 사용자만 URL을 통해 상품 관리 페이지에 접근할 수 있도록 하고, 로그인 되지 않은 사용자는 상품 페이지에 접근하지 못하도록 설정해보겠습니다.

private static final String[] whiteList = {"/","/members/add","/login","/logout","/css/*"};

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
{
    HttpServletRequest httpRequest = (HttpServletRequest) request;
    HttpServletResponse httpResponse = (HttpServletResponse) response;

    String requestURI = httpRequest.getRequestURI();

    try {
        log.info("인증 체크 필터 시작 {}",requestURI);
        if(isLoginCheckPath(requestURI))
        {
            log.info("인증 체크 로직 실행 {}", requestURI);
            HttpSession session = httpRequest.getSession(false);
            if(session == null || session.getAttribute(SessionConst.LOGIN_MEMBER)==null)
            {
                log.info("미인증 사용자 요청 {} ", requestURI);

                // 로그인으로 리다이렉트
                httpResponse.sendRedirect("/login?redirectURL="+requestURI);
                return; // 중요
            }
        }   
	 chain.doFilter(request,response); // 필수!  
     
     }catch..finally ..
}
    
private boolean isLoginCheckPath(String requestURI)
{
    return !PatternMatchUtils.simpleMatch(whiteList,requestURI);
}

 

화이트 리스트(회원가입, 로그인, 로그아웃, css)에 있는 URI를 제외한 모든 URI에 적용시켜 세션을 기반으로 로그인 한 경우(세션을 가지고 있는 경우) 에만 상품 관리 페이지에 접근할 수 있도록 필터를 설정했습니다. 

• 세션이 없거나, 세션에 "loginMember"의 loginMember가 존재하지 않는 경우 미인증 사용자 요청으로 판단해 로그인 화면으로 리다이렉션합니다. 
• 이 때 파라미터 쿼리로 requestURI를 로그인 컨트롤러의 @RequestParam으로 넘겨서 로그인 성공 이후 requestURI로 자동으로 이동하도록 설정.

@PostMapping("/login")
public String loginV4(@Valid @ModelAttribute LoginForm loginForm, BindingResult bindingResult,
                      @RequestParam(defaultValue = "/") String redirectURL,
                      HttpServletRequest request, HttpServletResponse response)
{
...

// 성공처리 ...
// 세션 처리 ...
retrun "redirect:" + redirectURL;
}

• 그 이후 return;
  • 인증 사용자의 경우 : finally까지 수행하지만
  • 미인증 사용자의 경우 return 해 줌으로써 다음으로 진행되지 않고 끝.

 

필터 등록

@Configuration
public class WebConfig {
    @Bean
    public FilterRegistrationBean logFilter()
    {
        FilterRegistrationBean<Filter> filterFilterRegistrationBean = new FilterRegistrationBean<>();
        filterFilterRegistrationBean.setFilter(new LogFilter());
        filterFilterRegistrationBean.setOrder(1);
        filterFilterRegistrationBean.addUrlPatterns("/*");

        return filterFilterRegistrationBean;
    }

    @Bean
    public FilterRegistrationBean loginCheckFilter()
    {
        FilterRegistrationBean<Filter> filterFilterRegistrationBean = new FilterRegistrationBean<>();
        filterFilterRegistrationBean.setFilter(new LoginCheckFilter());
        filterFilterRegistrationBean.setOrder(2);
        filterFilterRegistrationBean.addUrlPatterns("/*");

        return filterFilterRegistrationBean;
    }
}

🚩 Flow
HTTP Request ▶︎ WAS ▶︎ 로그를 남기는 필터 ▶︎ 로그인 체크 필터 ▶︎ 서블릿 ▶︎ 컨트롤러 

이렇게 공통 관심사를 서블릿 필터를 사용해 해결해보았습니다.