[Spring Security] Token Filter 구현하기

config 디렉토리에

TokenAuthenticationFilter.java 파일 만들거임.

 

이 필터에서는, 토큰에 담긴 Authorization 헤더 가져와서,

엑세스 토큰 유효하면 인증 정보 설정하는걸 할거임.

 

 

@Override
    protected void doFilterInternal(
            HttpServletRequest request,
            HttpServletResponse response,
            FilterChain filterChain) throws ServletException, IOException {

        // 요청 헤더의 Authorization 키의 값 조회
        String authorizationHeader = request.getHeader(HEADER_AUTHORIZATION);

        // 가져온 값에서 접두사 제거
        String token = getAccessToken(authorizationHeader);

        if(tokenProvider.validToken(token)) {
            Authentication authentication = tokenProvider.getAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        filterChain.doFilter(request, response);

    }

 

 

이 메서드는 클라이언트로부터 요청이 들어오면, 컨트롤러 도달 전에 호출됨.

 

여기서 궁금했던점들이 있는데, 한줄한줄 보자면

 

 

Q1. HttpServletRequest request는 알겠는데, response는 뭐냐?

( 이 코드는 controller도달 전에 호출되는건데,

서비스 로직 들어가지도 않았는데 웬 response?

request는 클라이언트에서 보낸 요청이니까 알겠는데... )

 

A.

이 시점에서는 응답이 완료되지 않은게 맞음.

즉, reponse객체는 이미 비어있는 상태로 생성되어서 전달된거임!

HttpServletRequest랑 HttpServletResponse는

서블릿 컨테이너가 만드는데,

request객체, response객체도 미리 만들어서

필터에 넘기는거임!

 

[ 클라이언트 요청 ]
   ↓
[ 톰캣(서블릿 컨테이너) ]
   ↓
필터 →  컨트롤러 →  서비스
  ↓                                       ↑
   └── ─ ─< 응답 >─────┘

 

즉 response 객체는 현재 비어있는거임.

컨트롤러 거친 후에 채워지겠지...

 

 

 

 

Q2. 가져온 값에서 접두사 제거한다는게, Bearer ey~여기서 Bearer없애도 정말 딱 JWT 토큰만 남기겟다는 목적 맞나?

A.

맞음!

 

 

 

 

 

Q3. tokenProvider.getAuthentication(token); 의 역할은?

A.

토큰 기반으로 새로 Authentication객체 만드는거임

그리고 그걸 SecurityContext에 저장하는게 바로 다음줄 코드

( SecurityContextHolder.getContext().setAuthentication(authentication); )

 

여기서 파생되는 또 하나의 질문...

 

 

Q3-1. 매번 Authentication객체 만드는게 효율적인 방법인가?

 

A. 

JWT 기반 인증 시스템의 특징 중 하나인

**무상태**때문에

매 요청마다 토큰에서 인증 정보를 추출하는거임.

서버는 "누가 로그인했는지" 기억하지 않기 때문.

따라서 매번 Authentication객체 만들 수밖에 없음.

 

--> 그렇다면 SecurityContextHolder의 의미는 뭔데?

매 요청마다 필터가 실행되는데,

해당 인증 객체를 SecurityContext에 저장하는 용도임.

그리고 그걸 컨트롤러나 서비스로직이 SecurityContext에서 꺼내 쓰는거임.

 

=

 

이 효율적인 방법은 한 요청 내에서만 유효하다는거임!

요청이 끝나면 SecurityContext도 사라짐

(스레드로컬 기반이니까)

 

 

 

 

 

Q4. filterChain.doFilter()는 뭐하는 메서드?

 

A.

다음 필터나 컨트롤러로 요청 넘기는거임.

클라이언트로부터 요청이 왔는데,

필터에서 다음으로 안넘겨주면

걍 멈추고 끝나기때문에..

그냥 단지 흐름을 넘기는 역할이지,

값을 return하거나 그러지는 않음.

 

 

 

 

---

다음은 getAccessToken()함수!

 

private String getAccessToken(String authorizationHeader) {
        
        if(authorizationHeader != null && authorizationHeader.startsWith(TOKEN_PREFIX)) {
            return authorizationHeader.substring(TOKEN_PREFIX.length());
        }
        
        return null;
}

 

이 함수는

doFilterInternal()메서드에서 호출하게되는데

거기서 request.getHeader()해서 헤더만 똑 떼오고

(그러면 Bearer ey~~이런식이 되겠지?)

 

그 다음에 가져온 값에서 접두사를 제거하는 역할을 한다.

 

즉, 요청 헤더에서 실제 JWT 토큰(ey~)만 추출해주는 역할을 하는거임.

 

참고로 Authorization헤더는 보통

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6...

 

이런식으로 전달됨!

 

 

다음 포스팅에서는 토큰 API를 구현하겠음!