스프링 MVC 2편 - 백엔드 웹 개발 활용 기술
- Spring mvc2 타임리프 기본기능
- Spring mvc2 타임리프 스프링 통합과 폼
- Spring mvc2(2) 메세지, 국제화
- Spring mvc2(3) 검증1 validation
- Spring mvc2 검증2 1 bean validation
- Spring mvc2 검증2 2 로그인 처리1 쿠키, 세션
- Spring mvc2 검증2 3 로그인 처리2 필터, 인터셉터
- Spring mvc2 검증2 4 예외 처리와 오류 페이지
- Spring mvc2(1) api 예외처리
- Spring mvc2(2) 스프링 타입 컨버터
- Spring mvc2(3) 파일 업로드
Spring mvc2 검증2 3 로그인 처리2 필터, 인터셉터
1. 서블릿 필터 - 소개
공통 관심 사항
- 요구사항을 보면 로그인 한 사용자만 상품 관리 페이지에 들어갈 수 있어야 한다.
- 앞에서 로그인을 하지 않은 사용자에게는 상품 관리 버튼이 보이지 않기 때문에 문제가 없어 보인다.
- 그런데 문제는 로그인 하지 않은 사용자도 다음 URL을 직접 호출하면 상품 관리 화면에 들어갈 수 있다는 점이다.
상품 관리 컨트롤러에서 로그인 여부를 체크하는 로직을 하나하나 작성하면 되겠지만, 등록, 수정, 삭제, 조회 등등 상품관리의 모든 컨트롤러 로직에 공통으로 로그인 여부를 확인해야 한다. 더 큰 문제는 향후 로그인과 관련된 로직이 변경될 때 이다. 작성한 모든 로직을 다 수정해야 할 수 있다.
- 이렇게 애플리케이션 여러 로직에서 공통으로 관심이 있는 있는 것을 공통 관심사(cross-cutting concern)라고 한다.
- 이러한 공통 관심사는 스프링의 AOP로도 해결할 수 있지만, 웹과 관련된 공통 관심사는 지금부터 설명할 서블릿 필터 또는 스프링 인터셉터를 사용하는 것이 좋다.
- 웹과 관련된 공통 관심사를 처리할 때는 HTTP의 헤더나 URL의 정보들이 필요한데, 서블릿 필터나 스프링 인터셉터는 HttpServletRequest 를 제공한다.
서블릿 필터 소개
필터의 흐름
HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 컨트롤러
- 필터를 적용하면 필터가 호출 된 다음에 서블릿이 호출된다. 그래서 모든 고객의 요청 로그를 남기는 요구사항이 있다면 필터를 사용하면 된다.
- 참고로 필터는 특정 URL 패턴에 적용할 수 있다. /* 이라고 하면 모든 요청에 필터가 적용된다.
- 스프링을 사용하는 경우 여기서 말하는 서블릿은 스프링의 디스패처 서블릿으로 생각하면 된다.
필터 제한
HTTP 요청 -> WAS -> 필터(적절하지 않은 요청이라 판단, 서블릿 호출X) //비 로그인 사용자
- 필터에서 적절하지 않은 요청이라고 판단하면 거기에서 끝을 낼 수도 있다. 그래서 로그인 여부를 체크하기에 딱 좋다.
필터 체인
HTTP 요청 -> WAS -> 필터1 -> 필터2 -> 필터3 -> 서블릿 -> 컨트롤러
- 필터는 체인으로 구성되는데, 중간에 필터를 자유롭게 추가할 수 있다. 예를 들어서 로그를 남기는 필터를 먼저 적용하고, 그 다음에 로그인 여부를 체크하는 필터를 만들 수 있다.
필터 인터페이스
-
public interface Filter { public default void init(FilterConfig filterConfig) throws ServletException {} public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException; public default void destroy() {} } -
필터 인터페이스를 구현하고 등록하면 서블릿 컨테이너가 필터를 싱글톤 객체로 생성하고, 관리한다.
- init(): 필터 초기화 메서드, 서블릿 컨테이너가 생성될 때 호출된다.
- doFilter(): 고객의 요청이 올 때 마다 해당 메서드가 호출된다. 필터의 로직을 구현하면 된다.
- destroy(): 필터 종료 메서드, 서블릿 컨테이너가 종료될 때 호출된다.
2. 서블릿 필터 - 요청 로그
- 모든 요청을 로그로 남기는 필터를 개발하고 적용해본다.
LogFilter - 로그 필터
-
package hello.login.web.filter; import lombok.extern.slf4j.Slf4j; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; import java.io.IOException; import java.util.UUID; @Slf4j public class LogFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { log.info("log filter init"); } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { log.info("log filter doFilter"); //다운 캐스팅 HttpServletRequest httpRequest = (HttpServletRequest) request; String requestURI = httpRequest.getRequestURI(); String uuid = UUID.randomUUID().toString(); try{ log.info("REQUEST [{}][{}]", uuid, requestURI); chain.doFilter(request, response); }catch (Exception e){ throw e; }finally { log.info("RESPONSE [{}][{}]", uuid, requestURI); } } @Override public void destroy() { log.info("log filter destory"); } }- Filter 인터페이스를 구하여 사용한다. (주의!
import javax.servlet.Filter;해야 한다. Filter 라이브러리 종류가 많다!) doFilter(ServletRequest request, ServletResponse response, FilterChain chain)- HTTP 요청이 오면 doFilter 가 호출된다.
- ServletRequest request 는 HTTP 요청이 아닌 경우까지 고려해서 만든 인터페이스이다. HTTP를 사용하면
HttpServletRequest httpRequest = (HttpServletRequest) request;와 같이 다운 케스팅 하면 된다.
String uuid = UUID.randomUUID().toString();- HTTP 요청을 구분하기 위해 요청당 임의의 uuid 를 생성해둔다.
chain.doFilter(request, response);- 이 부분이 가장 중요하다. 다음 필터가 있으면 필터를 호출하고, 필터가 없으면 서블릿을 호출한다. 만약 이 로직을 호출하지 않으면 다음 단계로 진행되지 않는다.
- Filter 인터페이스를 구하여 사용한다. (주의!
WebConfig - 필터 설정
-
필터를 등록하는 방법은 여러가지가 있지만, 스프링 부트를 사용한다면 FilterRegistrationBean 을 사용해서 등록하면 된다.
-
package hello.login; @Configuration public class WebConfig { @Bean public FilterRegistrationBean logFilter(){ FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>(); //등록할 필터를 지정한다. filterRegistrationBean.setFilter(new LogFilter()); //필터는 체인으로 동작한다. 따라서 순서가 필요하다. 낮을 수록 먼저 동작한다. filterRegistrationBean.setOrder(1); //어떤 url? -> 모든 url("/*") filterRegistrationBean.addUrlPatterns("/*"); return filterRegistrationBean; } } - 참고 : @ServletComponentScan @WebFilter(filterName = “logFilter”, urlPatterns = “/*”) 로 필터 등록이 가능하지만 필터 순서 조절이 안된다. 따라서 FilterRegistrationBean 을 사용하자.
실행 로그
-
hello.login.web.filter.LogFilter: REQUEST [0a2249f2-cc70-4db4-98d1-492ccf5629dd][/items] hello.login.web.filter.LogFilter: RESPONSE [0a2249f2-cc70-4db4-98d1-492ccf5629dd][/items]
실무에서 HTTP 요청시 같은 요청의 로그에 모두 같은 식별자를 자동으로 남기는 방법은 logback mdc로 검색해보자.
3. 서블릿 필터 - 인증 체크
- 로그인 되지 않은 사용자는 상품 관리 뿐만 아니라 미래에 개발될 페이지에도 접근하지 못하도록 하자.
LoginCheckFilter - 인증 체크 필터
-
인터페이스에 default 있으면 구현안해도 된다. (Filter 인터페이스의 init(), destory() 는 default 가 있다.)
-
package hello.login.web.filter; @Slf4j public class LoginCheckFilter implements Filter { private static final String[] whitelist = {"/", "/members/add", "/login", "/logout", "/css/*"}; @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; String requestURI = httpRequest.getRequestURI(); HttpServletResponse httpResponse = (HttpServletResponse) response; try{ log.info("인증 체크 필터 시작{}", requestURI); if (isLoginCheckPath(requestURI)) { log.info("인증 체크 로직 실행{}", requestURI); HttpSession session = httpRequest.getSession(false); if (session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null) { log.info("미인증 사용자 요청 {}", requestURI); //로그인으로 redirect //로그인 되면 바로 requestURI 로 보내준다. httpResponse.sendRedirect("/login?redirectURL=" + requestURI); return; } } chain.doFilter(request, response); }catch (Exception e){ throw e; //예외 로깅 가능 하지만, 톰캣까지 예외를 보내주어야 함 }finally { log.info("인증 체크 필터 종료 {}", requestURI); } } /** * 화이트 리스트의 경우 인증 체크 X */ private boolean isLoginCheckPath(String requestURI) { return !PatternMatchUtils.simpleMatch(whitelist, requestURI); } } -
whitelist = {"/", "/members/add", "/login", "/logout","/css/*"};- 인증 필터를 적용해도 홈, 회원가입, 로그인 화면, css 같은 리소스에는 접근할 수 있어야 한다. 이렇게 화이트 리스트 경로는 인증과 무관하게 항상 허용한다. 화이트 리스트를 제외한 나머지 모든 경로에는 인증 체크 로직을 적용한다.
httpResponse.sendRedirect("/login?redirectURL=" + requestURI);- 미인증 사용자는 로그인 화면으로 리다이렉트 한다. 그런데 로그인 이후에 다시 홈으로 이동해버리면, 원하는 경로를 다시 찾아가야 하는 불편함이 있다.
- 예를 들어서 상품 관리 화면을 보려고 들어갔다가 로그인 화면으로 이동하면, 로그인 이후에 다시 상품 관리 화면으로 들어가는 것이 좋다.
- 이러한 기능을 위해 현재 요청한 경로인 requestURI 를 /login 에 쿼리 파라미터로 함께 전달한다.
- /login 컨트롤러에서 로그인 성공시 해당 경로로 이동하는 기능은 추가로 개발해야 한다.
return;
- 여기가 중요하다. 필터를 더는 진행하지 않는다.
- 이후 필터는 물론 서블릿, 컨트롤러가 더는 호출되지 않는다. 앞서 redirect 를 사용했기 때문에 redirect 가 응답으로 적용되고 요청이 끝난다.
- 즉,
httpResponse.sendRedirect("/login?redirectURL=" + requestURI);가 응답으로 보내졌기 때문에 302 요청으로 login 페이지가 호출되고, - 필터가 처음부터 다시 동작하게 된다.
- 즉,
what is PatternMatchUtils ???
-
org.springframework.util;에 있는 기능이다. -
simpleMatch() 라는 메서드를 제공하는데, 첫번째 인자로 String 또는 String[] 을 받고, 두번째 인자로 String 을 받는다.
-
public static boolean simpleMatch(@Nullable String pattern, @Nullable String str) {...} public static boolean simpleMatch(@Nullable String[] patterns, String str) {...}
-
-
첫번째와 두번째 인자를 비교해서 true, false 를 반환한다.
-
리스트가 인자로 들어가면, 하나라도 맞으면 true 를 반환한다.
URI ?? URL??
- ` httpResponse.sendRedirect(“/login?redirectURL=” + requestURI);`
- 동일 도메인 내에서 이동하는 것이기 때문에 URI를 value로 전달한 것이다. (requestURI)
- 만약 다른 도메인으로 이동해야 한다면 URL을 value로 전달하게 된다.(redirectURL)
WebConfig - loginCheckFilter() 추가
-
@Bean public FilterRegistrationBean loginCheckFilter(){ FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>(); //LoginCheckFilter() 사용 filterRegistrationBean.setFilter(new LoginCheckFilter()); //순서는 2번째 filterRegistrationBean.setOrder(2); //모든 요청에 로그인 필터를 적용한다. filterRegistrationBean.addUrlPatterns("/*"); return filterRegistrationBean; }
모든 요청에 필터를 적용해도 자원에는 큰 낭비가 아니다.
RedirectURL 처리 (loginController)
- 미인증자가 /items 에 접근 시
http://localhost:8080/login?redirectURL=/items/가 뜬다.- 즉 쿼리파라미터로 reduirectURL 로 /items 를 받는다.
-
@PostMapping("/login") public String loginV4(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult, //@RequestParam 으로 redirectURL 값을 받는다. @RequestParam(defaultValue = "/") String redirectURL, HttpServletRequest request) { if (bindingResult.hasErrors()) { return "login/loginForm"; } Member loginMember = loginService.login(form.getLoginId(), form.getPassword()); if (loginMember == null) { bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다."); return "login/loginForm"; } HttpSession session = request.getSession(); session.setAttribute(SessionConst.LOGIN_MEMBER, loginMember); //없으면 "/", 있으면 redirectURL 로 간다. return "redirect:" + redirectURL;- @RequestParam 으로 redirectURL 값을 받는다. 이때 parameter 가 없을 수도 있기 때문에 defaultValue 값으로 “/” 를 넣어준다.
return "redirect:" + redirectURL;로 /없으면 “/”, 있으면 redirectURL 로 간다.
참고
- 필터에는 다음에 설명할 스프링 인터셉터는 제공하지 않는, 아주 강력한 기능이 있는데 chain.doFilter(request, response); 를 호출해서 다음 필터 또는 서블릿을 호출할 때 request , response 를 다른 객체로 바꿀 수 있다.
- ServletRequest , ServletResponse 를 구현한 다른 객체를 만들어서 넘기면 해당 객체가 다음 필터 또는 서블릿에서 사용된다. 잘 사용하는 기능은 아니니 참고만 해두자.
4. 스프링 인터셉터 - 소개
- 서블릿 필터가 서블릿이 제공하는 기술이라면, 스프링 인터셉터는 스프링 MVC가 제공하는 기술이다.
- 둘 다 웹과 관련된 공통 관심 사항을 처리하지만, 적용되는 순서와 범위, 그리고 사용방법이 다르다.
스프링 인터셉터 흐름
- 기본 흐름
HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 스프링 인터셉터 -> 컨트롤러
- 스프링 인터셉터는 디스패처 서블릿과 컨트롤러 사이에서 컨트롤러 호출 직전에 호출 된다.
- 스프링 인터셉터는 스프링 MVC가 제공하는 기능이기 때문에 결국 디스패처 서블릿 이후에 등장하게 된다.
- 스프링 MVC의 시작점이 디스패처 서블릿이라고 생각해보면 이해가 될 것이다.
- 스프링 인터셉터에도 URL 패턴을 적용할 수 있는데, 서블릿 URL 패턴과는 다르고, 매우 정밀하게 설정할 수 있다.
스프링 인터셉터 제한
HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 스프링 인터셉터 -> 컨트롤러 //로그인 사용자HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 스프링 인터셉터(적절하지 않은 요청이라 판단, 컨트롤러 호출 X) // 비 로그인 사용자
인터셉터에서 적절하지 않은 요청이라고 판단하면 거기에서 끝을 낼 수도 있다. 그래서 로그인 여부를 체크하기에 딱 좋다
스프링 인터셉터 체인
HTTP 요청 -> WAS -> 필터 -> 서블릿 -> 인터셉터1 -> 인터셉터2 -> 컨트롤러- 스프링 인터셉터는 체인으로 구성되는데, 중간에 인터셉터를 자유롭게 추가할 수 있다. 예를 들어서 로그를 남기는 인터셉터를 먼저 적용하고, 그 다음에 로그인 여부를 체크하는 인터셉터를 만들 수 있다
스프링 인터셉터 인터페이스
-
스프링의 인터셉터를 사용하려면 HandlerInterceptor 인터페이스를 구현하면 된다.
-
public interface HandlerInterceptor { default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {} default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) throws Exception {} default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {} }- 서블릿 필터의 경우 단순하게 doFilter() 하나만 제공된다. 인터셉터는 컨트롤러 호출 전( preHandle ), 호출 후( postHandle ), 요청 완료 이후( afterCompletion )와 같이 단계적으로 잘 세분화 되어 있다.
- 서블릿 필터의 경우 단순히 request , response 만 제공했지만, 인터셉터는 어떤 컨트롤러( handler )가 호출되는지 호출 정보도 받을 수 있다. 그리고 어떤 modelAndView 가 반환되는지 응답 정보도 받을 수 있다.
스프링 인터셉터 호출 흐름
정상 흐름
-
 - 로그인 처리2 - 필터, 인터셉터/image-20230315170215183.png)
- preHandle : 컨트롤러 호출 전에 호출된다. (더 정확히는 핸들러 어댑터 호출 전에 호출된다.)
- preHandle 의 응답값이 true 이면 다음으로 진행하고, false 이면 더는 진행하지 않는다. false 인 경우 나머지 인터셉터는 물론이고, 핸들러 어댑터도 호출되지 않는다. 그림에서 1번에서 끝이 나버린다.
- postHandle : 컨트롤러 호출 후에 호출된다. (더 정확히는 핸들러 어댑터 호출 후에 호출된다.)
- 그래서 파라미터로 ModelAndView 가 있다.
- afterCompletion : 뷰가 렌더링 된 이후에 호출된다.
- 그래서 파라미터로 추가로 @Nullable Exception ex 가 있다.
스프링 인터셉터 예외 상황
 - 로그인 처리2 - 필터, 인터셉터/image-20230315170307588.png)
- preHandle : 컨트롤러 호출 전에 호출된다.
- postHandle : 컨트롤러에서 예외가 발생하면 postHandle 은 호출되지 않는다.
- afterCompletion : afterCompletion 은 항상 호출된다. 이 경우 예외( ex )를 파라미터로 받아서 어떤 예외가 발생했는지 로그로 출력할 수 있다
afterCompletion은 예외가 발생해도 호출된다.
- 예외가 발생하면 postHandle() 는 호출되지 않으므로 예외와 무관하게 공통 처리를 하려면 afterCompletion() 을 사용해야 한다.
- 예외가 발생하면 afterCompletion() 에 예외 정보( ex )를 포함해서 호출된다.
인터셉터는 스프링 MVC 구조에 특화된 필터 기능을 제공한다고 이해하면 된다. 스프링 MVC를 사용하고, 특별히 필터를 꼭 사용해야 하는 상황이 아니라면 인터셉터를 사용하는 것이 더 편리하다.
5. 스프링 인터셉터 - 요청 로그
LogInterceptor - 요청 로그 인터셉터
-
package hello.login.web.intercepter; import lombok.extern.slf4j.Slf4j; import org.springframework.web.method.HandlerMethod; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.util.UUID; @Slf4j public class LogIntercepter implements HandlerInterceptor { public static final String LOG_ID = "logId"; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String requestURI = request.getRequestURI(); //요청 로그를 구분하기 위해 생성 String uuid = UUID.randomUUID().toString(); request.setAttribute(LOG_ID, uuid); //RequestMapping 사용 : HandlerMethod //정적 리소스 : ResourceHttpRequestHandler if(handler instanceof HandlerMethod){ HandlerMethod hm = (HandlerMethod) handler; } log.info("REQUEST [{}][{}][{}]", uuid, requestURI, handler); return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { log.info("postHandle [{}]", modelAndView); } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { String requestURI = request.getRequestURI(); Object uuid = request.getAttribute(LOG_ID); log.info("RESPONSE [{}][{}][{}]", uuid, requestURI, handler); if (ex != null) { log.error("afterCompletion error!!", ex); } } }String uuid = UUID.randomUUID().toString()- 요청 로그를 구분하기 위한 uuid 를 생성한다.
request.setAttribute(LOG_ID, uuid)- 서블릿 필터의 경우 지역변수로 해결이 가능하지만, 스프링 인터셉터는 호출 시점이 완전히 분리되어 있다.
- 따라서 preHandle 에서 지정한 값을 postHandle , afterCompletion 에서 함께 사용하려면 어딘가에 담아두어야 한다.
- LogInterceptor 도 싱글톤 처럼 사용되기 때문에 맴버변수를 사용하면 위험하다.
- 따라서 request 에 담아두었다. 이 값은 afterCompletion 에서 request.getAttribute(LOG_ID) 로 찾아서 사용한다.
- return true
- true 면 정상 호출이다. 다음 인터셉터나 컨트롤러가 호출된다.
HandlerMethod
- 핸들러 정보는 어떤 핸들러 매핑을 사용하는가에 따라 달라진다. 스프링을 사용하면 일반적으로 @Controller , @RequestMapping 을 활용한 핸들러 매핑을 사용하는데, 이 경우 핸들러 정보로 HandlerMethod 가 넘어온다.
ResourceHttpRequestHandler
- @Controller 가 아니라 /resources/static 와 같은 정적 리소스가 호출 되는 경우 ResourceHttpRequestHandler 가 핸들러 정보로 넘어오기 때문에 타입에 따라서 처리가 필요하다
WebConfig - 인터셉터 등록
-
@Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LogIntercepter()) .order(1) .addPathPatterns("/**") .excludePathPatterns("/css/**", "*.ico", "/error"); }- WebMvcConfigurer 인터페이스로 해당 인터페이스가 제공하는 addInterceptors() 를 사용하면 인터셉터를 등록할 수 있다.
- builder 형식으로 등록한다.
- registry.addInterceptor(new LogInterceptor()) : 인터셉터를 등록한다.
- order(1) : 인터셉터의 호출 순서를 지정한다. 낮을 수록 먼저 호출된다.
- addPathPatterns(“/**”) : 인터셉터를 적용할 URL 패턴을 지정한다.
- excludePathPatterns(“/css/*”, “/.ico”, “/error”) : 인터셉터에서 제외할 패턴을 지정한다.
실행 로그
-
상품 목록 페이지 방문
-
2023-03-15 17:42:25.845 INFO 116012 --- [nio-8080-exec-4] hello.login.web.filter.LoginCheckFilter : 인증 체크 필터 시작/items 2023-03-15 17:42:25.846 INFO 116012 --- [nio-8080-exec-4] hello.login.web.filter.LoginCheckFilter : 인증 체크 로직 실행/items 2023-03-15 17:42:25.846 INFO 116012 --- [nio-8080-exec-4] h.login.web.intercepter.LogIntercepter : REQUEST [9a010fd9-db2a-4f6e-8ca4-661bd5edb0dc][/items][hello.login.web.item.ItemController#items(Model)] 2023-03-15 17:42:25.847 INFO 116012 --- [nio-8080-exec-4] h.login.web.intercepter.LogIntercepter : postHandle [ModelAndView [view="items/items"; model={items=[Item(id=1, itemName=itemA, price=10000, quantity=10), Item(id=2, itemName=itemB, price=20000, quantity=20)]}]] 2023-03-15 17:42:25.881 INFO 116012 --- [nio-8080-exec-4] h.login.web.intercepter.LogIntercepter : RESPONSE [9a010fd9-db2a-4f6e-8ca4-661bd5edb0dc][/items][hello.login.web.item.ItemController#items(Model)] 2023-03-15 17:42:25.882 INFO 116012 --- [nio-8080-exec-4] hello.login.web.filter.LoginCheckFilter : 인증 체크 필터 종료 /items
스프링의 URL 경로
- 스프링이 제공하는 URL 경로는 서블릿 기술이 제공하는 URL 경로와 완전히 다르다. 더욱 자세하고, 세밀하게 설정할 수 있다.
PathPattern 공식 문서
- 링크: https://docs.spring.io/spring-framework/docs/current/javadoc-api/org/springframework/web/util/pattern/PathPattern.html
6. 스프링 인터셉터 - 인증 체크
LoginCheckInterceptor
-
package hello.login.web.intercepter; import hello.login.web.SessionConst; import lombok.extern.slf4j.Slf4j; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; @Slf4j public class LoginCheckIntercepter implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String requestURI = request.getRequestURI(); log.info("인증 체크 인터셉터 실행 {}", requestURI); HttpSession session = request.getSession(); if (session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null) { log.info("미인증 사용자 요청"); //로그인으로 redirect response.sendRedirect("/login?redirectURL=" + requestURI); return false; } return true; } } request.getSession();으로 session 정보를 가져와서 session 정보가 없거나 SessionConst.LOGIN_MEMBER 가 없으면 미인증 사용자로 처리한다.
WebConfig 등록
-
@Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LogIntercepter()) .order(1) .addPathPatterns("/**") .excludePathPatterns("/css/**", "*.ico", "/error"); registry.addInterceptor(new LoginCheckIntercepter()) .order(2) .addPathPatterns("/**") .excludePathPatterns("/", "/members/add", "/login", "logout", "/css/**", "/*.ico", "/error"); }- 인터셉터를 적용하거나 하지 않을 부분은 addPathPatterns 와 excludePathPatterns 에 작성하면 된다.
- 기본적으로 모든 경로에 해당 인터셉터를 적용하되 ( /** ),
- 홈( / ), 회원가입( /members/add ), 로그인( /login ), 리소스 조회( /css/** ), 오류( /error )와 같은 부분은 로그인 체크 인터셉터를 적용하지 않는다. 서블릿 필터와 비교해보면 매우 편리한 것을 알 수 있다.
서블릿 필터와 비교해서 스프링 인터셉터가 개발자 입장에서 훨씬 편리하다는 것을 코드로 이해했을 것이다. 특별한 문제가 없다면 인터셉터를 사용하는 것이 좋다.
7. ArgumentResolver 활용
- MVC1편 6. 스프링 MVC - 기본 기능 요청 매핑 헨들러 어뎁터 구조에서 ArgumentResolver 를 학습했다.
- 해당 기능을 사용해서 로그인 회원을 조금 편리하게 찾아보자.
HomeController - 추가
-
@GetMapping("/") public String homeLoginV3ArgumentResolver( @Login Member loginMember, Model model){ if(loginMember == null){ return "home"; } model.addAttribute("member", loginMember); return "loginHome"; }@SessionAttribute(name = SessionConst.LOGIN_MEMBER, required = false)대신, @Login 을 사용하였다.
ArgumentResolver 복습 ..
-
 - 로그인 처리2 - 필터, 인터셉터/image-20230315193336879.png)
- 위 그림처럼 서블릿에서 핸들러 어댑터에 정보를 넘겨서 핸들러를 사용하려면,
- 핸들러 어댑터가 핸들러에 맞게 데이터를 변경해서 넘겨줘야 한다.
- 이때, ArgumentResolver 가 사용된다.
- 어노테이션 기반 컨트롤러는 RequestMappingHandlerAdapter 가 사용된다.
- 애노테이션 기반 컨트롤러를 처리하는 RequestMappingHandlerAdapter 는 바로 이 ArgumentResolver 를 호출해서 컨트롤러(핸들러)가 필요로 하는 다양한 파라미터의 값(객체)을 생성한다.
- 따라서 ArgumentResolver 를 기반으로 LoginMemberArgumentResolver 를 만든다면 사용가능하다.
즉, homeController(핸들러) 로 보내는 ArgumentResolver 를 직접 만들어서 사용한다는 뜻!
추가로 찾아본 부분
-
Argument Resolver 는 Intercepter 요청 뒤에 이루어진다.
-
따라서 어플리케이션에 다양한 요구 사항이 존재한다면 Resolver 를 사용했을 때 각 로직을 원하는 구간 별로 나눌 수 있다는 메리트가 있을 수 있다(? 난 잘 모르겠음)
-
클라이언트에서 보낸 암호화 데이터를 복호화할 때, 각 API 마다 이런 작업을 처리해야 하면 중복코드가 많아진다.
-
따라서 이러한 처리를 유연하게 하기 위해 ArgumentResolver 를 쓸 수 있다(? 난 잘 모르겠음 )
-> 23.4.12 에 다시 읽어본 결과 좀 알겠음!
@Login 애노테이션 생성
-
package hello.login.web.argumentresolver; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) public @interface Login { }- @Target(ElementType.PARAMETER) : 파라미터에만 사용
- @Retention(RetentionPolicy.RUNTIME) : 리플렉션 등을 활용할 수 있도록 런타임까지 애노테이션 정보가 남아있음
LoginMemberArgumentResolver 생성
-
package hello.login.web.argumentResolver; import hello.login.domain.member.Member; import hello.login.web.SessionConst; import lombok.extern.slf4j.Slf4j; import org.springframework.core.MethodParameter; import org.springframework.web.bind.support.WebDataBinderFactory; import org.springframework.web.context.request.NativeWebRequest; import org.springframework.web.method.support.HandlerMethodArgumentResolver; import org.springframework.web.method.support.ModelAndViewContainer; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; @Slf4j public class LoginMemberArgumentResolver implements HandlerMethodArgumentResolver { @Override public boolean supportsParameter(MethodParameter parameter) { log.info("supportParameter 실행"); boolean hasLoginAnnotation = parameter.hasParameterAnnotation(Login.class); boolean hasMemberType = Member.class.isAssignableFrom(parameter.getParameterType()); return hasLoginAnnotation && hasMemberType; } @Override public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception { log.info("resolveArgument 실행"); HttpServletRequest request = (HttpServletRequest) webRequest.getNativeRequest(); HttpSession session = request.getSession(false); if(session == null){ //member 에 null 을 넣는다. return null; } //없으면 null return session.getAttribute(SessionConst.LOGIN_MEMBER); } }- supportsParameter() : boolean 타입, 해당 어노테이션이 있는지, 지원하는 타입인지 확인한다.
- Login.class 가 있는지, Member 클래스가 있는지 확인
- member 클래스 확인은 이렇게 써도 될듯
parameter.getParameterType().equals(Member.class);- 그러나 parameter 가 Member 의 자식클래스라면??
- 자식 클래스까지 포함하려면 :
parameter.getParameterType().isAssignableFrom(Member.class)이 더 좋을듯하다.
- resolveArgument 는 컨트롤러 호출 직전에 호출돼서 필요한 파라미터 정보를 생성해준다.
- 여기서는 세션에 있는 로그인 회원 정보인 member 객체를 찾아서 반환해준다.
- supportsParameter() : boolean 타입, 해당 어노테이션이 있는지, 지원하는 타입인지 확인한다.
WebMvcConfigurer에 설정 추가
-
WebMvcConfigurer 에 addArgumentResolvers() 메서드가 있다.
-
@Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) { resolvers.add(new LoginMemberArgumentResolver()); }
실행해보면, 결과는 동일하지만, 더 편리하게 로그인 회원 정보를 조회할 수 있다. 이렇게 ArgumentResolver 를 활용하면 공통 작업이 필요할 때 컨트롤러를 더욱 편리하게 사용할 수 있다.
댓글남기기