🔥 TIL - Day 75 Kotlin & Springboot 06 SpringSecurity 없이 토큰기반 인증 구현 2 (권한검증 + 같은 URI에 대한 처리 - 프록시 패턴)

Kim Dae Hyun·2021년 12월 22일

JWT Spring TIL junit kotlin

TIL

목록 보기

86/93

이전에 Spring Security 없이 구현한 인증에는 권한에 대한 검증이 포함되지 않았다.

이번에는 권한에 대한 검증과 같은 URI이더라도 Http Method에 따라 인증필요여부를 분기시키는 기능을 구현하고자 한다.

📌 권한검증 추가

Jwt 토큰 생성시 Claim으로 권한을 갖도록 한다.
다음으로 Jwt에 대한 처리로직을 다루는 JwtUtils 클래스에 권한검증을 수행하는 메서드를 추가한다.

    fun verifySellerToken(token: String): Boolean {
        try {
            val claims = getAllClaims(token)

            val expiration = claims.expiration // 만료기간 검증
            if (!expiration.after(Date())) return false

            when(val role = claims["role"]) { 
                is String -> {
                    return role.equals("ROLE_SELLER") // 권한검증
                }
                else -> throw IllegalArgumentException("타입에러")
            }
        } catch (e: JwtException) {
            return false
        } catch (e: IllegalArgumentException) {
            return false
        }
    }

📌 권한검증을 위한 인터셉터 정의

판매자 권한(ROLE_SELLER)의 검증이 필요한 경우 아래 인터셉터를 통하도록 설정해준다.

@Component
class RoleVerifyInterceptor(private val jwtTokenProvider: JwtTokenProvider): HandlerInterceptor {

    override fun preHandle(request: HttpServletRequest, response: HttpServletResponse, handler: Any): Boolean {
        if(isPreRequest(request)) return true

        val token = JwtTokenExtractor.extract(request)
        token?.let {
            if(jwtTokenProvider.verifySellerToken(it)) return true
        }

        throw AuthenticationException("인증실패")
    }

    private fun isPreRequest(request: HttpServletRequest): Boolean {
        return request.method.equals(HttpMethod.OPTIONS)
    }
}

📌 Http Method에 따라 인터셉터 적용여부 판단하기

기존에는 요청 URI로만 인증을 수행하는 인터셉터의 적용여부를 판단했다.
하지만 Rest API의 경우 같은 URI에 Http Method만 달리하는 것이 일반적이다.

ex)
GET /articles => 게시글 조회 (인증 불필요)
POST /articles => 게시글 등록 (인증 필요)

인터셉터에서는 HttpServletRequest를 사용할 수 있기 때문에 요청 URI와 HTTP 메서드를 알아낼 수 있다. 하지만 모든 요청의 메서드마다 분기작업을 하는 것은 너무 번거롭고 반복적인 작업이 될 것이다.
(if... if ... if ... if..........)

이런 반복적인 작업을 줄이기 위해 인증 인터셉터 적용여부를 판단하기 위한 로직을 떼어낼 것이다.

class PatternMatcherInterceptor(
    var targetInterceptor: HandlerInterceptor, // 적용될 인터셉터
) : HandlerInterceptor {

    var addPathPatterns: MutableMap<String, HttpMethod> = mutableMapOf() // 인터셉터를 적용조건 <요청URI, 요청메서드>

    fun addPathPatterns(uri: String, httpMethod: HttpMethod) = this.addPathPatterns.put(uri, httpMethod)

    override fun preHandle(request: HttpServletRequest, response: HttpServletResponse, handler: Any): Boolean {
        val method = request.method
        val requestURI = request.requestURI

        // URI와 요청메서드가 일치하는 경우 targetInterceptor 를 통하도록 처리
        for (uri in addPathPatterns.keys) {
            if (requestURI.equals(uri) && addPathPatterns[uri].toString() == method) {
                return targetInterceptor.preHandle(request,response, handler)
            }
        }

        return true
    }
}

실제 검증을 수행할 인터셉터를 생성자를 통해 주입받는다.
실제 검증이 수행될 URI, HTTP Method에 대한 설정을 위한 메서드를 정의한다. (addPathPatterns)
클라이언트 요청의 URI와 HTTP Method가 addPathPatterns에 존재한다면 실제 검증을 수행할 인터셉터를 호출한다. (targetInterceptor.preHandle)

실제 인증을 수행하는 인터셉터 앞 단에서 프록시 느낌으로 요청을 매칭해주는 인터셉터를 추가한 것이다.

📌 인터셉터 및 ArgumentResolver 등록

@Configuration
class WebMvcConfig(
    private val tokenVerifyInterceptor: TokenVerifyInterceptor,
    private val roleVerifyInterceptor: RoleVerifyInterceptor,
    private val authenticatedUserArgumentResolver: AuthenticatedUserArgumentResolver) : WebMvcConfigurer{

    override fun addInterceptors(registry: InterceptorRegistry) {
        val patternMatcherInterceptor1 = PatternMatcherInterceptor(roleVerifyInterceptor) // 판매자 권한 검증을 위한 인터셉터
        patternMatcherInterceptor1.addPathPatterns("/test/auth-test/seller", HttpMethod.GET)

        val patternMatcherInterceptor2 = PatternMatcherInterceptor(tokenVerifyInterceptor) // 일반 검증 인터셉터
        patternMatcherInterceptor2.addPathPatterns("/items", HttpMethod.POST)
        patternMatcherInterceptor2.addPathPatterns("/test/auth-test", HttpMethod.GET)

        registry.addInterceptor(patternMatcherInterceptor1)
            .addPathPatterns("/**")
        registry.addInterceptor(patternMatcherInterceptor2)
            .addPathPatterns("/**")
    }

    override fun addArgumentResolvers(resolvers: MutableList<HandlerMethodArgumentResolver>) {
        resolvers.add(authenticatedUserArgumentResolver)
    }
}

Kim Dae Hyun

좀 더 천천히 까먹기 위해 기록합니다. 🧐

이전 포스트

🔥 TIL - Day 74 Kotlin & Springboot 05 SpringSecurity 없이 토큰기반 인증 구현 및 Junit 테스트

다음 포스트