📌 Spring Security - 인증 및 권한 예외처리 핸들러 정복

My Pale Blue Dot·2025년 4월 30일

Spring spring security 예외처리

SPRING

목록 보기

35/36

📅 날짜

2025-04-30

📝 학습 내용

Spring Security에서 인증(Authentication)과 권한(Authorization) 처리 과정에서 발생할 수 있는 예외 상황을 핸들러로 세분화하여 처리한다.

총 6개의 커스텀 핸들러를 구현하여 인증, 인가, 로그인, 로그아웃 전반의 흐름을 제어하였다.

1️⃣ 인증 실패 및 권한 부족 예외처리

✅ `CustomAuthenticationEntryPoint`

미인증 사용자가 보호된 자원에 접근할 때 호출 (401 Unauthorized)

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException {
        log.error("CustomAuthenticationEntryPoint's commence invoke...");
        response.sendRedirect(request.getContextPath() + "/login?error=true");
    }
}

✅ `CustomAccessDeniedHandler`

인증은 되었지만 권한이 부족한 경우 호출 (403 Forbidden)

public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException {
        log.error("CustomAccessDeniedHandler's handle invoke...");
        response.sendRedirect(request.getContextPath() + "/login?error=true");
    }
}

2️⃣ 로그인 처리 핸들러

✅ `CustomSuccessHandler`

로그인 성공 시 메인 페이지로 이동

public class CustomSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException {
        log.info("CustomSuccessHandler's onAuthenticationSuccess invoke...");
        response.sendRedirect(request.getContextPath() + "/");
    }
}

✅ `CustomLoginFailureHandler`

로그인 실패 시 로그인 페이지로 리다이렉트 (보안상 메시지 노출 X)

public class CustomLoginFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException {
        log.error("CustomLoginFailureHandler's onAuthenticationFailure invoke...");
        response.sendRedirect(request.getContextPath() + "/login?error=true");
    }
}

3️⃣ 로그아웃 처리 핸들러

✅ `CustomLogoutHandler`

로그아웃 요청 시 세션 무효화 등 커스텀 작업 처리

public class CustomLogoutHandler implements LogoutHandler {
    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        log.info("CustomLogoutHandler's logout invoke...");
        HttpSession session = request.getSession(false);
        if (session != null) session.invalidate();
    }
}

✅ `CustomLogoutSuccessHandler`

로그아웃 완료 후 메인 페이지로 리다이렉트

public class CustomLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
                                Authentication authentication) throws IOException {
        log.info("CustomLogoutSuccessHandler's onLogoutSuccess invoke...");
        response.sendRedirect(request.getContextPath() + "/");
    }
}

🔧 전체 Spring Security 설정 예시

@Override
protected void configure(HttpSecurity http) throws Exception {
    // CSRF 비활성화 (테스트 용도, 운영환경에서는 꼭 활성화!)
    http.csrf().disable();

    // 권한 체크
    http.authorizeRequests()
        .antMatchers("/", "/join", "/login").permitAll()
        .antMatchers("/user").hasRole("USER")
        .antMatchers("/manager").hasRole("MANAGER")
        .antMatchers("/admin").hasRole("ADMIN")
        .anyRequest().authenticated();

    // 로그인 설정
    http.formLogin()
        .loginPage("/login")
        .permitAll()
        .successHandler(new CustomSuccessHandler())
        .failureHandler(new CustomLoginFailureHandler());

    // 로그아웃 설정
    http.logout()
        .permitAll()
        .addLogoutHandler(new CustomLogoutHandler())
        .logoutSuccessHandler(new CustomLogoutSuccessHandler());

    // 예외 처리 설정
    http.exceptionHandling()
        .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
        .accessDeniedHandler(new CustomAccessDeniedHandler());
}

🔥 정리

처리 상황	핸들러	설명
인증되지 않은 사용자 접근	`CustomAuthenticationEntryPoint`	`/login?error=true`로 리다이렉트
권한 부족 접근	`CustomAccessDeniedHandler`	`/login?error=true`로 리다이렉트
로그인 성공	`CustomSuccessHandler`	`/` 메인 페이지로 이동
로그인 실패	`CustomLoginFailureHandler`	에러 메시지 없이 `/login?error=true`로 이동
로그아웃 요청 처리	`CustomLogoutHandler`	세션 무효화 등 직접 작업 가능
로그아웃 완료 처리	`CustomLogoutSuccessHandler`	`/` 메인으로 이동

🔗 참고 자료

Spring Security 공식 문서
실무 보안 가이드 참고

My Pale Blue Dot

Here, My Pale Blue.🌏

이전 포스트

📌 Spring Security 인증 정보 확인 방법 총정리 + JSP Taglib 활용

다음 포스트

📌 Spring Security - 인증 및 권한 예외처리 핸들러 정복

SPRING

📅 날짜

📝 학습 내용

1️⃣ 인증 실패 및 권한 부족 예외처리

✅ `CustomAuthenticationEntryPoint`

✅ `CustomAccessDeniedHandler`

2️⃣ 로그인 처리 핸들러

✅ `CustomSuccessHandler`

✅ `CustomLoginFailureHandler`

3️⃣ 로그아웃 처리 핸들러

✅ `CustomLogoutHandler`

✅ `CustomLogoutSuccessHandler`

🔧 전체 Spring Security 설정 예시

🔥 정리

🔗 참고 자료

📌 Spring Security 인증 정보 확인 방법 총정리 + JSP Taglib 활용

📌 Spring Security - Remember Me 기능 정리

0개의 댓글

📌 Spring Security - 인증 및 권한 예외처리 핸들러 정복

SPRING

📅 날짜

📝 학습 내용

1️⃣ 인증 실패 및 권한 부족 예외처리

✅ CustomAuthenticationEntryPoint

✅ CustomAccessDeniedHandler

2️⃣ 로그인 처리 핸들러

✅ CustomSuccessHandler

✅ CustomLoginFailureHandler

3️⃣ 로그아웃 처리 핸들러

✅ CustomLogoutHandler

✅ CustomLogoutSuccessHandler

🔧 전체 Spring Security 설정 예시

🔥 정리

🔗 참고 자료

📌 Spring Security 인증 정보 확인 방법 총정리 + JSP Taglib 활용

📌 Spring Security - Remember Me 기능 정리

0개의 댓글

✅ `CustomAuthenticationEntryPoint`

✅ `CustomAccessDeniedHandler`

✅ `CustomSuccessHandler`

✅ `CustomLoginFailureHandler`

✅ `CustomLogoutHandler`

✅ `CustomLogoutSuccessHandler`