Github 소스코드

🔎 Filter의 동작 시점

---

🔎 Filter 구현

Filter를 구현하는 클래스 정의

javax.servlet의 Filter 인터페이스를 구현해야 합니다.

구현 메서드는 init, doFilter, destroy 3개 이지만 init과 destroy는 default키워드가 붙어있으므로 필수 구현은 아닙니다.

지금 예제에서는 사전(init), 사후(destroy) 처리를 하지 않을 것이기 때문에 doFilter 메서드만 오버라이딩 해줍니다.

가장 먼저 로그인하지 않은 사용자(권한이 없는 사용자)가 접근 가능한 페이지 및 정적 리소스를 명시해줍니다.

• 홈, 회원가입, 로그인, css 경로를 접근 가능한 경로로 설정하였습니다.

private static final String[] unAuthList = {"/", "/members/add", "/login", "/css/*"};

사용자 로그인 여부 검증을 위한 doFilter 메서드 구현

HttpServletRequest와 HttpServletResponse를 사용하기 위해 다운캐스팅 해줍니다.

로그인 성공시 직전 요청 url로 redirect를 위해 현재 요청의 URI를 파싱합니다.

로그인 정보를 담고있는 session을 얻어옵니다.
null일시 session을 새로 생성하지 않기 위해 getSession메서드는 false로 설정합니다.

PatternMatchUtils 유틸 클래스의 simpleMatch 메서드를 이용해서 권한 없이 접근 가능한 목록(unAuthList)에 요청된 URI가 있는지 확인합니다. 인증이 필요한 요청인지 확인

접근 가능 목록에 없다면 인증을 수행합니다. (요청된 세션쿠키를 확인)
만약 인증에 실패했다면 HttpServletResponse의 sendRedirect 메서드를 이용해서 로그인 페이지로 redirect 시켜줍니다.

redirect 후에 반드시 return을 해줘야 합니다. return의 의미는 더 이상 다음 필터로든 서블릿으로든 진행하지 않겠다는 것 입니다.
redirect로 요청을 보내고 필터의 역할을 끝내는 것이지요.

만약 인증에 성공한 사용자라면 chain.doFilter(request, response)를 이용해 다음 필터 혹은 서블릿으로 쭉 진행합니다.

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

    HttpServletRequest httpRequest = (HttpServletRequest) request;
    HttpServletResponse httpResponse = (HttpServletResponse) response;
    String requestURI = httpRequest.getRequestURI();
    HttpSession session = httpRequest.getSession(false);
    try {
        if (!PatternMatchUtils.simpleMatch(unAuthList, requestURI)) {  
            if (session == null || session.getAttribute("SESSION-KEY") == null) {
                httpResponse.sendRedirect("/login?redirectURL=" + requestURI);
                return;
            }
        }

        chain.doFilter(request, response);
    } catch (Exception e) {
        throw e;
    } finally {
        log.info("LoginValidFilter 종료");
    }
}

sendRedirect시 reqeustURI를 함께 넘기는 이유

로그인을 필요로 하는 웹 사이트를 돌아다니다 보면 흔히 경험하는 현상입니다.

어떤 웹 사이트에 들어가 여러 페이지를 돌아 다니며 어떤 작업을 하는 중인데 중간에 로그인이 필요한 페이지를 누르게 되어 로그인 페이지로 redirect 되었다고 가정해볼께요.

귀찮게 일단 로그인을 했는데 해당 웹 사이트의 홈 페이지로 이동되면 사용자는 다시 이전의 로그인이 필요한 페이지로 이동을 해야 합니다.

이런 상황을 방지하기 위해 필터에 걸리기 전 즉 로그인 페이지로 이동되기 직전의 요청으로 이동시켜줘야 합니다.

인증에 실패해서 필터에 의해 로그인 페이지로 이동시 URL은 /login?redirectURL=/직전요청URI입니다.
이렇게 쿼리 파라미터로 전달되는 redirectURI를 처리하기 위해 POST /login컨트롤러를 수정해줍니다.

해당 컨트롤러에 아래 파라미터를 추가해줍니다.

@RequestParam(defaultValue = "/")String redirectURL

그리고 리턴시 redirect url은 아래와 같이 구성해줍니다.
이렇게 해주면 redirectURL로 items(상풍목록조회)가 함께 전달된다면 redirect:/items가 될 것이고 redirectURL이 없다면 redirect:/로 평범한 로그인 요청 성공으로 홈 페이지로 이동합니다.

return "redirect:" + redirectURL;

🔎 Filter 등록

설정을 위한 클래스를 하나 정의합니다. (WebConfig.class)

필터를 Bean으로 관리하기 위해 설정 클래스가 컴포넌트 스캔의 대상이 되도록 @Configuration를 꼭 붙여줘야 합니다.

빈 등록

필터의 우선순위, 필터를 적용하고자 하는 요청 URL 등을 설정합니다.
/* 는 모든 요청 URL을 의미합니다.

@Bean
public FilterRegistrationBean loginCheckFilter() {
    FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
    filterRegistrationBean.setFilter(new LoginCheckFilter());
    filterRegistrationBean.setOrder(1);
    filterRegistrationBean.addUrlPatterns("/*");
    return filterRegistrationBean;
}

인프런 김영한님의 스프링 MVC 2편 을 수강하고 정리한 내용입니다.