티스토리 뷰

우아한테크코스/레벨3

[Spring] 사용자인증과 ArgumentResolver, Interceptor

nauni 2021. 8. 23. 21:03

사용자 인증을 다양한 방식으로 할 수 있다. 프로젝트를 진행하면서 ArgumentResolver와 Interceptor를 사용하여 구현하였다.

둘 간의 차이점이 어떤 것이 있는지 살펴보자!

 

둘의 Configuration 설정은 다음과 같다.

@Configuration
public class AuthenticationPrincipalConfig implements WebMvcConfigurer {

    private final AuthService authService;
    private final LoginInterceptor loginInterceptor;
    private final AdminLoginInterceptor adminLoginInterceptor;

    public AuthenticationPrincipalConfig(AuthService authService, LoginInterceptor loginInterceptor,
                                         AdminLoginInterceptor adminLoginInterceptor) {
        this.authService = authService;
        this.loginInterceptor = loginInterceptor;
        this.adminLoginInterceptor = adminLoginInterceptor;
    }

    // ArgumentResolver 설정
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(createAuthenticationPrincipalArgumentResolver());
    }

    @Bean
    public AuthenticationPrincipalArgumentResolver createAuthenticationPrincipalArgumentResolver() {
        return new AuthenticationPrincipalArgumentResolver(authService);
    }
    
    // Interceptor 설정
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/api/labs/{*id}/**");

        List<String> adminPrivilegeRelatedUri = Arrays.asList("/api/labs", "/api/labs/", "/api/labs/{*id}");
        registry.addInterceptor(adminLoginInterceptor)
                .addPathPatterns(adminPrivilegeRelatedUri);
    }
}

ArgumentResolver

  • 컨트롤러의 메소드의 인자로 사용자가 임의의 값을 전달하는 방법을 제공하고자 할 때 사용한다.
  • AuthenticationPrincipal 이라는 어노테이션을 만들어 해당 어노테이션을 사용하여 임의의 값을 메소드 인자로 전달한다.
public class AuthenticationPrincipalArgumentResolver implements HandlerMethodArgumentResolver {

    private final AuthService authService;

    public AuthenticationPrincipalArgumentResolver(AuthService authService) {
        this.authService = authService;
    }
    
    // 해당 어노테이션이 있을 때,
    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.hasParameterAnnotation(AuthenticationPrincipal.class);
    }

    // 해당 인자를 넘겨준다
    @Override
    public Member resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
        String credentials = AuthorizationExtractor
                .extract(webRequest.getNativeRequest(HttpServletRequest.class));
        return authService.findMemberByToken(credentials);
    }
}
  • 설정한 @AuthenticationPrincipal 어노테이션을 Controller의 메소드 인자로 넣어주면 그 경우에 Member 객체를 받을 수 있다.

장점

  • 컨트롤러에서 Member 사용이 필요한 경우 객체로 직접 받을 수 있다.
  • 어노테이션을 통해서 어떤 부분에서 인증이 이뤄지고 있는지 알 수 있다.

단점

  • 인증이 필요한 경우마다 해당 어노테이션이 있어야 한다.

Interceptor

  • Handler 처리 전, 후에 설정하여 어떠한 로직을 실행되게 할 수 있다.
  • 던저지는 exception은 ControllerAdvice 에서 잡아 처리할 수 있다.
  • CORS 요청의 경우 preflight로 OPTION 요청이 본 요청전에 발생한다. preflight 요청의 경우 인증 로직을 거치지 않도록 true를 리턴하도록 설정해주어야 CORS 문제가 발생하지 않는다. (해당 설정을 해주지 않아 CORS 문제가 발생하여 원인을 찾는데 시간이 걸렸다.)
@Component
public class LoginInterceptor implements HandlerInterceptor {

    private static final Pattern pattern = Pattern.compile("(?<=labs\\/)\\d+");
    private final AuthService authService;

    public LoginInterceptor(AuthService authService) {
        this.authService = authService;
    }

    // Controller 진입 전, interceptor에서 사용할 로직작성
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        if (HttpMethod.OPTIONS.matches(request.getMethod())) {
            return true;
        }

        String credentials = AuthorizationExtractor.extract(request);
        checkCredentialsExistence(credentials);

        if (authService.existAdministratorByToken(credentials)) {
            return true;
        }

        checkMemberInLab(request, credentials);
        return true;
    }

장점

  • 여러개의 interceptor 적용이 가능하다.
  • 컨트롤러부터는 해당 인증, 인가가 되었음을 가정하고 진행한다.

단점

  • 어떤 부분에서 인증과 인가가 이뤄지고 있는지 컨트롤러 단에서는 확인하기 어렵다.
  • 인증 인가와 관련된 테스트를 수행할 때, AcceptanceTest로 해야한다. (Controller를 포함한 이후의 레이어에서는 해당 테스트를 할 수 없다.)
저작자표시 비영리 동일조건

'우아한테크코스 > 레벨3' 카테고리의 다른 글

[마무리] 레벨3, 팀프로젝트 회고  (0) 2021.08.24
[Docker] 도커 개념 이해하기  (0) 2021.08.24
CORS  (0) 2021.08.21
Flyway: DB migration  (0) 2021.08.19
[꿀팁] ssh config 설정하기  (2) 2021.08.12
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2025/01   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
글 보관함