필터 구현
요청을 수신하고 로직을 실행한 뒤 다음 체인의 필터에 요청을 위임한다.
인증을 보강하기 위해 OTP를 ㅊ ㅜ가하거나 로깅과 관련된 기능 등을 추가할 수 있다.
9.1. 스프링 시큐리티 아키텍처의 필터 구현
Filter 인터페이스를 구현하고 doFilter() 메서드를 재정의한다.
ServletRequest
HTTP 요청을 나타낸다.
ServletResponse
HTTP 응답을 나타낸다.
FilterChain
체인의 다음 필터로 요청을 전달한다.
필터 체인: 작동 순서가 정의된 필터의 모음
기본적으로 구현된 필터
BasicAuthenticationFilter
HTTP Basic 인증을 처리한다.
httpBasic()을 호출하면 필터 체인에 추가된다.
CsrfFilter
사이트 간 요청 위조를 처리한다.
CorsFilter
교차 출처 리소스 공유 권한 부여 규칙을 처리한다.
여러 필터가 같은 위치에 있으면 호출되는 순서는 랜덤이다.
9.2. 체인에서 기존 필터 앞에 필터 추가
public class RequestValidationFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
// 로직 구현
}
}
@Configuration
public class ProjectConfig {
...
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.addFilterBefore(new RequestValidationFilter(), BasicAuthenticationFilter.class)
.authorizeHttpRequests(requestMatcherRegistry -> requestMatcherRegistry.anyRequest().permitAll());
return http.build();
}
}
필터에 로직을 구현하고 체인에 추가한다.
9.3. 체인에서 기존 필터 뒤에 필터 추가
@Configuration
public class ProjectConfig {
...
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.addFilterBefore(new RequestValidationFilter(), BasicAuthenticationFilter.class)
.addFilterAfter(new AuthenticationLoggingFilter(), BasicAuthenticationFilter.class)
.authorizeHttpRequests(requestMatcherRegistry -> requestMatcherRegistry.anyRequest().permitAll());
return http.build();
}
}
9.4. 필터 체인의 다른 필터 위치에 필터 추가
기존 필터에 다른 필터를 적용하면 대체되는 것이 아니라 순서를 보장하지 않는 상태에서 실행된다.
인증 키는 속성 파일이 아니라 비밀 볼트를 이용한다.
@Configuration
public class ProjectConfig {
...
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.addFilterBefore(new RequestValidationFilter(), BasicAuthenticationFilter.class)
.addFilterAfter(new AuthenticationLoggingFilter(), BasicAuthenticationFilter.class)
.addFilterAt(new StaticKeyAuthenticationFilter(), BasicAuthenticationFilter.class)
.authorizeHttpRequests(requestMatcherRegistry -> requestMatcherRegistry.anyRequest().permitAll());
return http.build();
}
}
@SpringBootApplication(exclude = {UserDetailsServiceAutoConfiguration.class})UserDetailsService가 필요하지 않다면 비활성화 할 수 있다.
9.5. 스프링 시큐리티가 제공하는 필터 구현
GenericFilterBean
web.xml에 정의한 초기화 매개 변수를 이용할 수 있다.
OncePerRequestFilter
GenericFilterBean을 확장한 더 유용한 클래스
doFilter()가 한 번만 실행되는 것을 보장한다.
HTTP 요청만 지원해서 request, response 값을 형변환 할 필요가 없다.
shouldNotFilter()로 적용되지 않는 경우를 재정의할 수 있다.
비동기 요청이나 오류 발송 요청에는 적용되지 않는다.
이떄는 shouldNotFilterAsyncDispatch(), shouldNotFilterErrorDispatch()를 재정의한다.
스프링이 제공하는 클래스를 굳이 쓸 필요 없는 간단한 사례라면 안 써도 된다.
Last updated
Was this helpful?