[SpringMVC] 서블릿 세션(Servlet Session) 이용하기
[SpringMVC] Session( 세션 )이란? [SpringMVC] Cookie ( 쿠키 ) 클라이언트가 웹페이지에 접근하려고 한다. 웹페이지는 회원만 접근 가능하므로 서버는 클라이언트 요청에 로그인 페이지로 응답한다. 클라
lordofkangs.tistory.com
지난 포스팅에서 세션을 다루며 로그인에 대해서 알아보았다.
클라이언트가 서버에 ID/Password를 전송하면, 서버는 회원여부를 검사하고, 회원이 맞으면 세션을 생성하고 클라언트에게 세션ID가 담긴 쿠키를 전달한다. 쿠키는 인증수단으로 ID/Password를 대신한다. 그러므로 서버는 쿠키를 검증하는 로직이 있어야 한다. 쿠키에 담긴 세션ID가 유효한 세션인지 확인하고 유효하다면 접근을 인가한다.
이와같은 검증 및 인가 과정은 홈페이지에서만 일어나지 않는다. 대부분의 페이지는 회원만 접근 가능하므로 대부분의 요청에 검증 및 인가 과정이 필요하다. 그러므로 거의 모든 Controller에 검증 및 인가 로직을 구현해야 하는 상황이 발생한다. Controller가 공통으로 처리하는 로직인 경우, 공통관심사로 분리하여 처리할 수 있는데, 이때 서블릿 필터나 스프링 인터셉터를 사용하는 것이 좋다.
이번 포스팅에서는 서블릿 필터(Filter)에 대해서 알아보겠다.
서블릿 필터(Filter)
필터는 서블릿이 시작되기 전에 실행되어 공통으로 처리할 관심사를 처리하는 영역이다.
HTTP 요청이 들어오면 WAS를 거치고 필터로 이동한다. 필터에서 공통관심사를 처리한 뒤, 디스패처서블릿으로 넘어간다. 필터는 싱글톤 객체로 서블릿 컨테이너가 생명주기를 관리한다. 그래서 필터는 3가지 메소드를 기본으로 가지고 있다.
1) init()
2) doFilter()
3) destroy()
init()는 필터가 생성될 때 실행되는 메소드이고 destroy()는 필터가 제거될 때 실행되는 메소드이다. 그리고 doFilter는 HTTP 요청이 들어올 때 실행되는 메소드이다. 필터와 매핑되는 url패턴을 가진 HTTP 요청이 들어오면 필터 객체의 doFilter()를 호출하여 공통 관심사를 처리하는 원리이다. 또한 필터는 체인구조로 이어져 있다. doFilter가 종료되면 다음 필터의 doFilter가 실행된다. 필터1->필터2->필터3->서블릿 순으로 진행된다.
정리하면, 필터는 요청이 들어왔을 때 미리 싱글톤 객체로 생성되어 있어야 하고 URL 패턴이 지정되어야 하며 필터가 동작하는 순서도 지정되어 있어야 한다.
그러므로 필터를 설정하는 과정이 중요하다.
FilterResgistrationBean
SpringBoot 환경에서는 주로 FilterResgistrationBean 객체를 Bean으로 생성하여 필터를 등록한다.
[Spring boot] Filter 설정
spring boot 학습 & 세팅 3탄 (2.3.9 RELEASE docs.spring.io/spring-boot/docs/2.3.9.RELEASE/reference/html/) 1. @Component 또는 @ServletComponentScan WebFilter) 임베디드 WAS의 경우, 자동 설정에 의해서 Filter를 구현할 클래스에 @Co
jronin.tistory.com
@ServletComponentScan, @WebFilter 같은 어노테이션으로 필터등록이 가능하지만 필터 순서 조절이 안된다. 자세한 내용은 위 포스팅에 잘 정리되어 있으니 참고하면 된다.
@Configuration
public class WebConfig{
@Bean
public FilterRegistrationBean logFilter(){
FilterRegistrationBean<Filter> filterFilterRegistrationBean = new FilterRegistrationBean<>();
// 공통로그를 남기는 필터 등록하기
filterFilterRegistrationBean.setFilter(new LogFilter());
// 필터 순서 지정
filterFilterRegistrationBean.setOrder(1);
// 필터와 매핑되는 URL 패턴 지정
filterFilterRegistrationBean.addUrlPatterns("/*");
return filterFilterRegistrationBean;
}
@Bean
public FilterRegistrationBean loginCheckFilter(){
FilterRegistrationBean<Filter> filterFilterRegistrationBean = new FilterRegistrationBean<>();
// 로그인 체크 필터 등록하기
filterFilterRegistrationBean.setFilter(new LoginCheckFilter());
// 필터 순서 지정
filterFilterRegistrationBean.setOrder(2);
// 필터와 매핑되는 URL 패턴 지정
filterFilterRegistrationBean.addUrlPatterns("/*");
return filterFilterRegistrationBean;
}
}
Spring은 @Configuration 스캔하여 그곳에 설정된 Bean을 스프링 컨테이너에 등록한다. 위 코드를 보면 FilterResgistrationBean 2개를 등록한다.
1) 공통로그를 남기는 필터를 등록하는 FilterResgistrationBean
2) 로그인 체크 필터를 등록하는 FilterResgistrationBean
FilterResgistrationBean를 생성하고 필터를 등록한 뒤 필터 순서를 지정하고 URL 패턴을 지정하면 필터 설정이 마무리된다. 위 설정에 따르면, 공통로그 필터가 먼저 실행되고 그 다음 로그인 체크 필터가 실행된다. 모든 URL은 두 필터를 거친다.
그럼 로그인 체크 필터 코드를 확인해보자.
Filter
로그인 체크 필터의 목적은 모든 요청의 쿠키에 유효한 세션ID가 있는지 검사하는 것이다. 유효한 세션ID가 있으면 다음 필터로 넘기고 없다면 더이상 단계가 넘어가지 못하도록 프로세스를 종료한다.
세션ID가 없어도 접근 가능한 페이지가 있다. 회원가입, 로그인, 로그아웃 등 특정 페이지는 쿠키가 없어도 접근이 가능해야 한다. 한마디로 필터 로직을 거치지 않는 URL도 있다는 의미이다. 이런 url은 제외될 수 있도록 화이트리스트를 관리해야 한다. 스프링은 필터와 같은 기능을 하는 인터셉터를 제공하는데, 인터셉터는 등록단계에서 화이트 리스트를 지정할 수 있다. 이는 다음 포스팅에서 다루어 보겠다.
LoginCheckFilter
@Slf4j
public class LoginCheckFilter implements Filter {
// 화이트리스트
private static final String[] whitelist = {"/","/members/add","/login","/logout","/css/*"};
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
// [ Servlet -> HttpServlet 변환 ]
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
String requestURI = httpRequest.getRequestURI();
try{
if(isLoginCheckPath(requestURI)){ // 화이트리스트 여부 체크
// 세션 가져오기
HttpSession session = httpRequest.getSession(false);
// 세션이 없거나 회원정보가 없는 경우
if(session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null){
// 로그인 페이지로 리다이렉트
httpResponse.sendRedirect("/login?redirectURL="+requestURI);
return; // 프로세스 종료
}
}
// 세션 검증에 성공하거나 화이트리스트인 경우
chain.doFilter(request,response); // 다음 필터 호출
}catch (Exception e){
throw e;
}finally {
log.info("인증 체크 필터 종료 = {}",requestURI);
}
}
/*
* 화이트 리스트인 경우 인증 체크X
* */
private boolean isLoginCheckPath(String requestURI){
return !PatternMatchUtils.simpleMatch(whitelist,requestURI);
}
}
입국심사대에서 여권 검사하는 것을 상상하면 이해가 쉽다. Request로 들어온 요청이 화이트 리스트가 아니라면 쿠키를 검사한다. 쿠키에 저장된 세션ID가 유효한 세션ID이면 통과시키고 다음 체인을 호출한다. 만약 유효하지 않으면 로그인 페이지로 리다이렉트 시킨다. 이때 쿼리스트링으로 requestURL을 붙여 리다이렉트 시키는데, 이는 로그인 했을때 처음에 요청했던 페이지로 이동하기 위함이다.
처음 요청의 requestUrl은 /order이다. 로그인 체크 필터에서 세션검증을 했더니 실패하여 로그인 페이지로 리다이렉트 되었다. 이때 /order를 쿼리스트링으로 남겨두면 로그인 성공시, 쿼리스트링을 토대로 처음 요청했던 페이지로 바로 이동할 수 있게 된다.
이렇듯 필터는 서블릿 전에 실행되어 공통로직을 처리하는 중요한 역할을 한다. Spring에서는 공통관심사를 AOP로 처리하지만 웹의 경우, 공통관심사가 HTTP, URL 같은 웹데이터와 관련이 깊어 HttpServletRequest에 접근할 수 있는 필터가 주로 사용된다. 필터는 JAVA Servlet 패키지에서 제공하는 모듈이다. Spring도 필터와 같은 기능을 제공하는데, 이를 인터셉터(Interceptor)라 부른다. 다음 포스팅에서는 인터셉터(Interceptor)에 대해서 다루어 보겠다.
참고자료
스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 - 인프런 | 강의
웹 애플리케이션 개발에 필요한 모든 웹 기술을 기초부터 이해하고, 완성할 수 있습니다. MVC 2편에서는 MVC 1편의 핵심 원리와 구조 위에 실무 웹 개발에 필요한 모든 활용 기술들을 학습할 수 있
www.inflearn.com
'SPRING > Spring MVC' 카테고리의 다른 글
| [SpringMVC] ArgumentResolver 활용하기 (0) | 2023.08.31 |
|---|---|
| [SpringMVC] 스프링 인터셉터(Interceptor)란? (0) | 2023.08.31 |
| [SpringMVC] 서블릿 세션(Servlet Session) 이용하기 (0) | 2023.08.30 |
| [SpringMVC] Session( 세션 )이란? (0) | 2023.08.30 |
| [SpringMVC] Cookie ( 쿠키 ) (0) | 2023.08.30 |