Factory method 'securityFilterChain' threw exception with message: The Filter class ~~.JwtVerificationFilter does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.

🔥 문제

Spring Boot의 버전이 3.x로 올라가면서 Spring Security + JWT를 사용하여 로그인을 구현할 때 SecurityConfig를 작성하는 방식이 조금 달라졌다!

📌 Spring Boot 3.x securityConfig에 대한 자세한 개념들은 아래 포스팅을 참고해주세요.

• <Spring Boot 3.x + SpringSecurity + JWT 로그인 구현>

원래 Spring Boot 2.x 버전에서는

JwtVerificationFilter와 JwtAuthenticaitonFilter 두개를 만들어서 필터에 추가해주기 위해

AbstractHttpConfigurer를 구현한 CustomFilterConfigurer를 만들어 그 안에서 두 필터를 추가해준 후,

securityFilterChain에 http.apply(customFilterConfigurer)로 추가해주었었다.

하지만 버전이 올라가면서 apply() 메서드는 deprecated되어서 못쓰는 상태가 되어 다른 방식으로 추가해주어야 했다.

💡 deprecated된 메서드들 참고

---

중간 과정

여러가지 찾아보니 configurer에 빈 Customizer 메서드를 넣어놓고

.with() 메서드로 configurer, customizer 이렇게 넣어주면 된다는 글이 있어서 아래와 같이 해보았다.

하지만 돌아오는 것은 에러

Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'securityFilterChain' defined in class path resource [com/jp/backend/global/config/SecurityConfig.class]: Failed to instantiate [org.springframework.security.web.SecurityFilterChain]: Factory method 'securityFilterChain' threw exception with message: The Filter class com.jp.backend.auth.filter.JwtVerificationFilter does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.

에러 메세지는 대충 JwtVerificationFilter 클래스에 등록된 순서가 없으며, 명시적인 순서 없이는 필터를 추가할 수 없다고 지적하고 있었다.

그래서 어떻게 해야하나 고민하다가

공식 문서에서는 아래와 같은 방법으로 custom DSL을 적용하라고 나와있다.

기본값을 비활성화 할려면 아래와 같이 하라고 되어있었기에

일단 나는 customizer 값이 없기 때문에 저 공식 문서를 참고하여 아래와 같이 구현해보았다.

이렇게 했는데 일단 run은 잘 돌아갔고..!! 하지만 필터 로그를 보니

원래라면 저 로그아웃 필터 뒤에
com.jp.backend.auth.filter.JwtAuthenticationFilter@2b86e36b, com.jp.backend.auth.filter.JwtVerificationFilter@3973fe2b
두 필터가 들어가야하는데 안들어갔단 말입니다요

INFO 25648 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Will secure any request with [org.springframework.security.web.session.DisableEncodeUrlFilter@530e500c, org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@1c3b4de1, org.springframework.security.web.context.SecurityContextHolderFilter@66e6e5e9, org.springframework.security.web.header.HeaderWriterFilter@c310aa3, org.springframework.web.filter.CorsFilter@1925b113, org.springframework.security.web.authentication.logout.LogoutFilter@7abc838a, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@654ab198, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@6b334a1, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@eaa901a, org.springframework.security.web.session.SessionManagementFilter@5536542e, org.springframework.security.web.access.ExceptionTranslationFilter@740ddb41, org.springframework.security.web.access.intercept.AuthorizationFilter@7afffc81]

우에에에엥ㄱ
그래서 또 어찌저찌 찾아보다가 이번에는 configuer 클래스를 따로 만들지 않고 securityFilterChain 코드 안에 관련 내용을 넣어준 후에

.addFilterBofore로 필터를 추가해주었땨

이렇게 하고 run을 했더니 일단 잘 돌아가기도 하고 필터도 아래와 같이 잘 추가가 된 모습이다.

Will secure any request with [org.springframework.security.web.session.DisableEncodeUrlFilter@7abc838a, org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@2ee91bdf, org.springframework.security.web.context.SecurityContextHolderFilter@7d4bb16b, org.springframework.security.web.header.HeaderWriterFilter@56a7f57f, org.springframework.web.filter.CorsFilter@1a034bbc, org.springframework.security.web.authentication.logout.LogoutFilter@2179127d, com.jp.backend.auth.filter.JwtAuthenticationFilter@5453b15d, com.jp.backend.auth.filter.JwtVerificationFilter@4a6dd88e, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@79224636, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@35307365, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2c3c05ff, org.springframework.security.web.session.SessionManagementFilter@636d4cdc, org.springframework.security.web.access.ExceptionTranslationFilter@6000ca67, org.springframework.security.web.access.intercept.AuthorizationFilter@dc72335]

하지만 로그인을 해보니 아래와 같은 에러가 나타났다!

Cannot invoke "org.springframework.security.authentication.AuthenticationManager.authenticate(org.springframework.security.core.Authentication)" because "this.authenticationManager" is null
at com.jp.backend.auth.filter.JwtAuthenticationFilter.attemptAuthentication(JwtAuthenticationFilter.java:63) ~[main/:na]

http.getSharedObject(AuthenticationManager.class); 를 실행했을 때 AuthenticationManager 가 null 값으로 나와서 나오는 에러였는데

여러 방법을 찾아보고 AuthenticationManager를 @Bean으로 등록해봐도 잘 안돼서

며칠간의 서치 끝에 아이디어를 얻어서 해보았다.

---

☘️ 해결

위에서 AuthenticationManager가 null로 들어온다고 했으니까

아예 filterChain에서 http.getSharedObject(AuthenticationManager.class);를 빼고

AuthenticationManager Bean을 생성한 후에

인자로 AuthenticationManager authenticationManager를 넣어주면 해결되는 문제였다 !

이렇게 하고 돌리면 필터에도 추가가 되고, 로그인을 해도 header에 AccessToken이 잘 추가되는 것을 알 수 있다 !