🔎 Overview

  스프링 시큐리티를 복습하던 도중, '추후 학습해야지' 하고 넘어갔던 부분을 발견했다.

 스프링 시큐리티에서 CustomFilter 를 생성할 때, OncePerRequestFilter 라는 것을 상속받는다.
이름만 보고도 요청마다 단 한 번만 실행되는 필터라는 것은 알 수 있을 것이다.
하지만 이 필터가 언제 주로 사용되는 것이고, 정확히 어떤 것인지는 확실히 알지 못한다.

  이번 기회에 이전에 넘겼던 이 OncePerRequestFilter 를 메인으로, 필터에는 어떤 것들이 있고 어떻게 주로 사용되는지 등을 정리해보는 시간을 가져보고자 이 포스팅을 작성하게 되었다.

---

📑 OncePerRequestFilter

• Spring 에서 제공하는 Filter 로, 한 요청 당 한 번만 실행되는 것을 보장하는 필터
  • 기본적으로 서블릿 필터를 직접 구현하면, 하나의 요청이 여러 번 필터 체인을 통과할 수도 있음
  • OnceperRequestFilter 의 경우 이러한 것을 미연에 방지하고, 한 요청에 대해 딱 한 번만 실행되도록 자동으로 처리
• 내부적으로 isAsyncDispatch() 와 shouldNotFilter() 를 활용하여 비동기 요청 이나 특정 조건에 따른 필터 실행 제외 도 가능

public abstract class OncePerRequestFilter implements Filter {
	@Override
    public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    	HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        
        // 비동기 요청은 필터를 실행하지 않도록 설정
        if (isAsyncDispatch(httpRequest)) {
        	filterchain.doFilter(request, response);
            return;
        }
        
        doFilterInternal(httpRequest, httpResponse, filterChain);
    }
}

• 인증과 인가의 경우, 요청 당 한 번만 실행되면 되기 때문에(ex: JWT 토큰 검사), 인증, 인가에서 주로 사용

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
	@Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    	String token = request.getHeader("Authorization");
        
        if (token != null && token.startsWith("Bearer ")) {
        	String jwt = token.substring(7);
        }
        
        // jwt 활용
        
        filterChain.doFilter(request, response);
    }
}

• 모든 요청에 대한 한 번의 로깅만 필요한 경우도 사용

@Component
@Slf4j
public class LoggingFilter extends OncePerRequestFilter {
	@Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    	log.info("필터 로그");
        filterChain.doFilter(request, response);
    }
}

• 특정 요청에 대해서 헤더 변경 시에도 사용

@Component
public class CustomHeaderFilter extends OncePerRequestFilter {
	@Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    	response.setHeader("newHeader", "header_value")
        filterChain.doFilter(request, response);
    }
}

• CORS (Cross-Origin Resource Sharing) 필터 로도 사용이 가능
• 다른 도메인(출처)에서 요청이 올 경우, 이에 따른 CORS 규칙을 적용
• 이러한 경우에도 모든 요청에 대해서 한 번만 적용하면 되므로, OncePerRequestFilter 사용

@Component
public class CustomCorsFilter extends OncePerRequestFilter {
	@Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    	response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET");
        response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type");
        
        filterChain.doFilter(request, response);
    }
}

모든 `GET` 요청에 대한 `CORS` 정책 사용

---

🤔 OncePerRequestFilter 를 사용하는 이유

1. 중복 실행 방지

• 앞서 언급했듯, 스프링 시큐리티 필터 체인은 다양한 필터를 거치며 요청을 처리하는데, 같은 요청이 여러 번 동일한 필터를 통과할 수도 있음
• RequestDispatcher.forward() 나 include() 메서드를 사용하면 같은 요청이 필터를 다시 탈 수 있음
• 이러한 중복 실행을 방지하고자 OncePerRequestFilter 를 사용

2. 요청 스레드의 일관성 유지

• 필터 내부에서 SecurityContext 같은 요청 관련 정보를 설정하고 사용하게 되면, 필터가 여러 번 실행될 경우 정보가 덮어씌워질 수도 있음
• OncePerRequestFilter 를 사용하면 필터가 단 한 번만 실행되므로 정보를 일관되게 유지할 수 있음

3. 스프링 시큐리티

• 보완 관련 필터를 만들 때 가장 많이 사용
• UsernamePasswordAuthenticationFilter 같은 기본 필터들이 내부적으로 OncePerRequestFilter 를 상속받아 사용

---

⭐ 필터에서 자주 쓰이는 기능

1. forward

• 현재 요청을 새로운 URL로 이동시킴
• 단, 클라이언트도 이동 사실을 모르게 실행
• 요청을 다른 Servlet 및 JSP 로 전달할 때 사용
• 새로운 요청을 생성하지 않음 (기존 요청 객체 유지)
• 클라이언트는 URL이 바뀌지 않음

request.getRequestDispatcher("/").forward(request, response);

2. redirect

• 현재 요청을 클라이언트에게 새로운 URL로 이동하라고 응답
• 클라이언트는 이를 통해 새로운 요청을 보냄
• 따라서 새로운 요청이 생성됨
• 클라이언트가 새로운 URL을 요청하도록 유도 (브라우저의 URL도 변경)
• 일반적으로 POST 요청 후 redirect 를 통해 GET 요청으로 반환

response.sendRedirect("/");

3. include

• 현재 요청을 처리하는 동안 다른 서블릿 또는 JSP의 출력을 포함
• 공통 헤더, 푸터를 여러 페이지에서 포함할 때 주로 사용
• 기존 요청을 유지하면서 일부 응답 포함
• forward 와의 차이점은, 기존 페이지 일부에 다른 서블릿 내용을 포함한다는 점

RequestDispatcher dispatcher = request.getRequestDispatcher("/header.jsp");
dispatcher.include(request, response);

4. setAttribute

• 요청에 데이터를 저장하여 다른 서블릿/JSP에서 사용할 수 있게 만듦
• request.setAttribute() 로 저장한 데이터는 요청이 유지되는 동안 사용 가능
• forward 와 함께 사용하면 유용함

request.setAttribute("userRole", "ADMIN");

---

📖 그 외 필터의 종류

1. GenericFilterBean

• 스프링에서 제공하는 일반적인 필터
• 스프링의 Bean 으로 등록되어 DI 를 쉽게 가능
• 요청당 한 번 실행을 보장하지 않음
• 필요하다면 직접 실행 횟수 조절이 필요

@Component
public class CustomFilter extends GenericFilterBean {
	@Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    	filterChain.doFilter(request, response);
    }
}

2. CharacterEncodingFilter

• 요청과 응답의 문자 인코딩을 설정하는 필터
• 일반적으로 UTF-8 인코딩을 적용할 때 사용
• 웹 애플리케이션이 해당 인코딩을 강제하도록 설정 가능

@Bean
public FilterRegistrationBean<CharacterEncodingFilter> encodiginFilter() {
	CharacterEncodingFilter filter = new CharacterEncodingFilter();
    filter.setEncoding("UTF-8");
    filter.setForceEncoding(true);
    
    FilterRegistrationBean<CharacterEncodingFilter> registrationBean = new FilterRegistrationBean<>();
    registrationBean.setFilter(filter);
    return registrationBean;
}

3. CorsFilter

• CORS 설정을 담당하는 필터
• 다른 도메인의 요청을 허용할지 결정
• @CrossOrigin 과 함께 사용 가능
• 특정 도메인에서만 요청을 허용하도록 설정도 가능

@Bean
public CorsFilter corsFilter() {
	UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*")	// 모든 도메인에 대한 요청 허용
    config.addAllowedMethod("*")	// 모든 HTTP 메서드 요청 허용
    config.addAllowedHeader("*")	// 모든 헤더 요청 허용
    
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

4. HiddenHttpMethodFilter

• PUT , DELETE HTTP 메서드를 POST 요청에서 사용할 수 있게 해줌
• <form> 태그는 기본적으로 GET 과 POST 만 지원하므로, 이를 해결할 때 유용

---

📚 doFilter()와 doFilterInternal()

1. doFilter()

• javax.servlet.Filter 인터페이스에서 제공하는 기본 메서드
• 모든 서블릿 필터는 doFilter() 의 직접 구현이 필요
• 요청 시 doFilter() 가 실행되고, 다음 필터로 전달하기 위해서는 filterChain.doFilter(request, response) 를 호출해야 함
• 즉, Filter 인터페이스를 직접 구현하는 경우에는 doFilter() 메서드를 반드시 오버라이드 해야 함

2. doFilterInternal()

• OncePerRequestFilter 에서 제공하는 추상 메서드
• doFilter() 의 내부에서 doFilterInternal() 이 호출
• 따라서, 개발자는 doFilter() 대신 doFilterInternal() 만 구현하면 됨
• doFilter() 는 OncePerRequestFilter 가 자동으로 관리하며, 요청이 여러 번 필터 체인을 통과하는 것을 미연에 방지
  
  

✒️ 정리

• 일반적인 Filter 인터페이스에서는 doFilter() 를 구현
• OncePerRequestFilter 를 상속받는다면, 대신 doFilterInternal() 만 구현

---

참고) OpenAI. (2024).ChatGPT(4o)[Large language model].https://chatgpt.com/