Todo 서비스의 회원 CRUD, 회원별 게시물 CRUD 기능이 모두 구현되었다

이제 회원가입 후 쿠키와 세션을 활용해 인증 기능을 만들어보자

☑️ 흐름 정리

📌 요구사항
1. 회원가입 후 로그인하기
2. 로그인하면 쿠키와 세션 남기기
3. @Configuration 을 활용해 페이지별로 필터를 등록하기
4. 로그아웃하면 쿠키&세션 삭제하기
5. 이메일과 비밀번호가 일치하지 않을 경우 HTTP Status 401을 반환

전체적인 회원가입 로그인 세션 유지 로그아웃 로직을 정리해보자

• 회원 가입 /signup
  : name email password 입력해서 회원가입
  → MemberService.signUp()을 통해 구현됨
  → 여기는 로그인 안해도 접근 가능하게 구성해줘야함

• 로그인 /login
  : email password로 요청 보내면 저장된 회원정보에서 검증하고, 맞으면 session 생성해주기
  → 이걸 쿠키에 저장해놓고 나중에 필요할 때마다 쿠키를 보내서 인증하자

• 상태 확인 /check
  : 사용자가 이 페이지에 접속할거야!라고 할 때마다 로그인했는지 검증
  → 아까 생성된 session쿠키를 전송하고, 서버가 이를 조회해서 검증
  → 로그인된 상태면 회원정보를 뱉기 / 아니면 로그인하라고 알려주기

• 로그아웃 /logout
  : 세션 삭제해주기

✅ 이때 filter를 사용해서 사용자의 요청이 컨트롤러로 가기 전에 미리 검증할 수 있도록 해주자

---

🔐 인증 구현하기

🧩 전체 로직 파악

1️⃣ 사용자가 email, password를 JSON으로 보냄
2️⃣ memberService.login()에서 이메일 & 비밀번호 검증
3️⃣ 세션을 생성하고 session.setAttribute("user", email) 저장
4️⃣ 이후 클라이언트는 모든 요청에 로그인 상태 유지

🔑 로그인 Login

1. @PostMapping으로 로그인을 구현하자

//로그인
@PostMapping("/login")
public ResponseEntity<String> login(@RequestBody MemberRequestDto dto,
                                        HttpServletRequest request,
                                        HttpServletResponse response) {}

사용자에게서 email password 정보를 입력받아야함 → @RequestBoy MemberRequestDto dto
request → 클라이언트가 보낸 요청 정보를 담고 있음
response → 클라이언트에게 응답을 보낼 때 사용

이제 login 메서드 내부를 구현해보자
이메일과 비번을 넣어서 그 회원이 존재하고 비번도 맞으면(service에서) 로그인 세션&쿠키을 제공해준다

2. 회원 검증 및 session 생성

Member member = memberService.login(dto.getEmail(), dto.getPassword()); //회원이 존재하는지 검증
        HttpSession session = request.getSession(); //세션 요청하기
        session.setAttribute(Const.LOGIN_USER, member.getId());
        
        return ResponseEntity.ok("로그인 성공");

request.getSession()
→ 현재 세션이 없으면 새로운 세션을 생성 / 기존에 세션이 있으면 해당 세션을 반환

session.setAttribute("user", member.getEmail())
→ 세션에 사용자 정보를 저장 (user 키에 이메일 저장)

➡️ 이후 인증이 필요한 API에서 session.getAttribute("user")로 로그인 여부를 확인할 수 있다!!

---

🚪 로그아웃

세션을 삭제해주어야한다

//로그아웃
    //로그아웃
    @PostMapping("/logout")
    public ResponseEntity<String> logout(HttpServletRequest request, HttpServletResponse response) {
        // 로그인하지 않으면 HttpSession이 null로 반환된다.
        HttpSession session = request.getSession(false);
        // 세션이 존재하면 -> 로그인이 된 경우
        if(session != null) {
            session.invalidate(); // 해당 세션(데이터)을 삭제한다.
            return ResponseEntity.ok("로그아웃 성공");
        } else{
            return new ResponseEntity<>(HttpStatus.BAD_REQUEST);
        }
    }

HttpSession session = request.getSession(false) 여기 false로 되어있으면 세션이 없을때 자동으로 생성하지 않는다 => 로그인하지 않았다면 session이 null로 설정됨!

로그인이 되어있으면 session.invalidate()로 세션을 삭제!

---

🕳️ 필터

1. 필터(Filter)란?

: HTTP 요청/응답을 가로채서 처리하는 역할
→ 로그인 상태 확인, JWT 검증, 요청 로깅 등의 작업을 수행

@Slf4j
public class LoginFilter implements Filter {

    private static final String[] WHITE_LIST = {"/", "/members/signup", "/members/login", "/members/logout"};

WHITE_LIST에 검증을 하지 않아도 되는 페이지를 넣어주자

    @Override
    public void doFilter(ServletRequest servletRequest, 
    				ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        // 다양한 기능을 사용하기 위해 다운 캐스팅
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        String requestURI = httpRequest.getRequestURI();

        // 다양한 기능을 사용하기 위해 다운 캐스팅
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        log.info("로그인 필터 로직 실행");

이 클래스 아래에 화이트리스트인지 아닌지 검증하는 메서드를 먼저 만들어보자!
boolean 타입으로 반환한다

    private boolean isWhiteList(String requestURI) {
        // request URI가 whiteListURL에 포함되는지 확인
        // 포함되면 true, 포함되지 않으면 false 반환
        return PatternMatchUtils.simpleMatch(WHITE_LIST, requestURI);
    }
}

이 받은 결과를 토대로 로그인하면 세션값이 있으니까 doFilter 해주고
로그인하지 않았따면 세션값이 없으니까 에러를 던져준다!

        // 로그인을 체크 해야하는 URL인지 검사
        // whiteListURL에 포함된 경우 true 반환 -> !true = false
        if (!isWhiteList(requestURI)) {
            // 로그인 확인 -> 로그인하면 session에 값이 저장되어 있다는 가정.
            // 세션이 존재하면 가져온다. 세션이 없으면 session = null
            HttpSession session = httpRequest.getSession(false);

            // 로그인하지 않은 사용자인 경우
            if (session == null || session.getAttribute(Const.LOGIN_USER) == null) {
                throw new RuntimeException("로그인 해주세용용가리치킨 먹고싶당");
            }
            // 로그인 성공 로직
        }
        // 1번경우 : whiteListURL에 등록된 URL 요청이면 바로 chain.doFilter()
        // 2번경우 : 필터 로직 통과 후 다음 필터 호출 chain.doFilter()
        // 다음 필터 없으면 Servlet -> Controller 호출
        filterChain.doFilter(servletRequest, servletResponse);

    }

그리고 내가 만든 이 로그인 필터를
@Configuration을 이용해 필터를 직접 등록해야한다!!

@Configuration
public class Config {

    @Bean
    public FilterRegistrationBean loginFilter() {
        FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
        filterRegistrationBean.setFilter(new LoginFilter()); // Filter 등록
        filterRegistrationBean.setOrder(1); // Filter 순서 설정
        filterRegistrationBean.addUrlPatterns("/*"); // 전체 URL에 Filter 적용

        return filterRegistrationBean;
    }
}

setFilter를 사용해서 로그인필터를 필터에 넣어주고, 전체 URL에 1번째 순서로 적용한다!

---

👩‍🍳 커스텀 예외 만들기

지금까지의 에러 던지기도 좋지만,,

{
	"timestamp": "2025-03-26T14:26:45",
	"status": 400,
	"error": "BAD_REQUEST",
	"code": "C001",
	"message": "잘못된 입력값입니다",
	"path": "/api/login",
	"fieldErrors": [
		{
			"field": "username",
			"message": "아이디 입력은 필수입니다"
		}
	]
}

{
    "code": "C001",
    "message": "아이디 입력은 필수입니다",
    "status": "BAD_REQUEST"
}

이런식으로 응답을 받고싶다!

그러려면~~

🚀 예외 클래스(Custom Exception) 생성
→ 로그인 실패 시 특정 예외를 발생시킬 수 있도록 CustomException을 만든다.

🧩 예외 처리 핸들러(Global Exception Handler) 생성
→ @ControllerAdvice와 @ExceptionHandler를 사용하여 예외 발생 시 일관된 JSON 응답을 반환하도록 설정한다.

기능	방법
로그인 실패 시 예외 발생	CustomException 클래스 활용
에러 코드 일관성 유지	Error Enum 정의
전역 예외 처리	@RestControllerAdvice + @ExceptionHandler 사용
JSON 응답 형태	ErrorResponseDTO

1. 로그인 실패시 예외 만들기 customException

커스텀 예외 → 내가 원하는 상황에서 원하는 에러를 보여줄 수 있따
커스텀 에러를 만들떄는 RuntimeException을 상속해서 만들면 된다

@Getter
public class CustomException extends RuntimeException {
    private final Errors error;

    public CustomException(Errors error) {
        super(error.getMessage());
        this.error = error;
    }
}

super(error.getMessage()); 이 과정을 통해 상속받은 부모에게서부터 에러 메세지를 가져온다

2. 에러 코드 Enum

Enum을 사용하면 내가 원하는 이름과 에러코드로 반환해줄 수 있다
(깔끔함은 보너스~!!)

@Getter
@AllArgsConstructor
public enum Errors {
    INVALID_LOGIN("C001", "아이디 또는 비밀번호가 일치하지 않습니다.", HttpStatus.BAD_REQUEST),
    REQUIRED_USERNAME("C002", "아이디 입력은 필수입니다.", HttpStatus.BAD_REQUEST);

    private final String code;
    private final String message;
    private final HttpStatus status;
}

3. 전역 예외처리 & 응답 형태 만들기

GlobalExceptionHandler를 통해 에러를 핸들링할거다
이름에서 보이다싶이, 전역에서(프로그램 전체에) 발생하는 에러들을 잡아서 처리해주는 통합 에러처리라고 생각하면 된당

어떤 형태로 반환할지 정해주어야하므로 ErrorResponseDto으로 형식을 만들어주자

@Getter
@Builder
public class ErrorResponseDto {
    private LocalDateTime timestamp;
    private int status;
    private String error;
    private String code;
    private String message;
    private String path;
}

시간, 상태, 에러, 코드, 메세지, 경로 형식으로 반환하도록 만들었따

@RestControllerAdvice
public class GlobalExceptionHandler {
    @ExceptionHandler(CustomException.class)
    public ResponseEntity<ErrorResponseDto> handleCustomException(CustomException ex, HttpServletRequest request) {
        Errors error = ex.getError();

        ErrorResponseDto errorResponse = ErrorResponseDto.builder()
                .timestamp(LocalDateTime.now())
                .status(error.getStatus().value())
                .error(error.getStatus().getReasonPhrase())
                .code(error.getCode())
                .message(error.getMessage())
                .path(request.getRequestURI())
                .build();

        return ResponseEntity.status(error.getStatus()).body(errorResponse);
    }
    }

그럼 이제 전역에러처리해주는 글로벌 핸들러에서 만들어둔것들을 모두 적용해보자

@ExceptionHandler(CustomException.class)
익셉션 핸들러로 아까 만들어둔 커스텀에러를 넣어준다

반환값은 public ResponseEntity<ErrorResponseDto> 아까 만들어둔 형식으로

이넘으로 만둘어둔 Errors error = ex.getError(); 를 통해 에러를 가져온다

ErrorResponseDto errorResponse = ErrorResponseDto.builder()
                .timestamp(LocalDateTime.now())
                .status(error.getStatus().value())
                .error(error.getStatus().getReasonPhrase())
                .code(error.getCode())
                .message(error.getMessage())
                .path(request.getRequestURI())
                .build();

이후 error를 사용해서 getter해주면 에러들을 내가 원하는대로 가져올 수 있게 되는것이다~!!!!!!! 얏호
그러면 이렇게

에러를 가져오는 모습을 볼 수 있따

에러코드를 다르게 출력하고 싶다면 Enum에서 이 부분만 바꿔주면 된다!