[우리집 가족 커뮤니티 웹 서비스 프로젝트] 기술 정리 - Interceptor 설정

해당 프로젝트에 대한 Source Code는 '주니하랑 Git Hub'에서 확인하실 수 있습니다.

 

 

---

 

 

 

🗂 목차(INDEX)
       1.  초기구성

       2. Spring Security 초기 구성

       3. Interceptor 설정

.      4. 초기 Domain 설정

 

 

 

 

---

 

 

🚀 Package Tree

 

해당 Interceptor는 보시는 바와 같이 이용자들의 등급을 나누어 이용할 수 있는 서비스를 나누기 위해 만든 것이고, 나중에 불러서 사용하기 위해 만든 것이에요.

 

 

 

    🔽  AdminAPIInterceptor

 

최초 주니하랑은 HandlerInterceptor를 구현한 Class를 만든 것이에요.

HandlerInterceptor는 어떤 일을 하는 친구일까요?

HandlerInterceptor는 특정한 URI 호출을 '가로채는' 역할을 하는 친구인 것이에요.
이를 이용하여 기존 컨트롤러의 로직을 수정하지 않고도, 사전이나 사후 제어가 가능한 것이에요.

이 친구는 아래 Method들을 가지고 있어요!

preHandle(request, response, handler)

지정된 컨트롤러의 동작 이전에 수행할 동작 (사전 제어).

postHandle(request, response, handler, modelAndView)

지정된 컨트롤러의 동작 이후에 처리할 동작 (사후 제어).
Spring MVC의 Dispatcher Servlet이 화면을 처리하기 전에 동작.

afterCompletion(request, reponse, handler, exception)

Dispatcher Servlet의 화면 처리가 완료된 이후 처리할 동작.

 

 

주니하랑은 여기서 preHandle Method를 사용하여 컨트롤러가 동작을 수행하기 전에 권한을 확인하도록 할 것이에요!

먼저 이용자가 보낸 요청에서 Header에 있는 이름이 Authorization인 Header값 JWT 값을 가져와서 token이라는 문자열 자료형 변수에 저장을 해 놓을 것이에요.

그런 뒤 해당 Token값이 null인지 여부를 검사해서 정상적으로 Token을 받고 들어온 이용자인지를 검사할 것이에요.
만약 해당 이용자가 Token이 null이라고 한다면 401 Error를 출력하고, Message는 "요청에러"라고 보내줄 것이에요.

 

💡 [ HTTP 상태 401(Unauthorized) 이란? ]

HTTP 상태 중 401(Unauthorized)은 클라이언트가 인증되지 않았거나, 유효한 인증 정보가 부족하여 요청이 거부되었음을 의미하는 상태값.

즉, 클라이언트가 인증되지 않았기 때문에 요청을 정상적으로 처리할 수 없다고 알려주는 것.
401(Unauthorized) 응답을 받는 대표적인 경우는 로그인이 되어 있지 않은 상태에서 무언가 요청을 하는 경우이다.
예를 들어 어떤 쇼핑몰 사이트에 로그인을 하지 않았는데, 나의 결제 내역과 같은 정보를 달라고 하면 401(Unauthorized)를 반환받게 될 것.

이와 많이 혼동되는 HTTP 상태로 403(Forbidden)이 있다.

 

그리고 반환값을 false로 보내주는 처리를 할 것이에요.

 

이 단계를 넘어갔다면 당연히 해당 이용자는 JWT를 가지고 있는 것이기 때문에 이제부터 JWT에 대한 유효성 검사를 할 것이에요.

23번째 줄을 보면 Bearer이 있는데, 이것은 인증 타입 중에 하나에요!

Basic

사용자 아이디와 암호를 Base64로 인코딩한 값을 토큰으로 사용한다. (RFC 7617)

Bearer

JWT 혹은 OAuth에 대한 토큰을 사용한다. (RFC 6750)

Digest

서버에서 난수 데이터 문자열을 클라이언트에 보낸다. 클라이언트는 사용자 정보와 nonce를 포함하는 해시값을 사용하여 응답한다 (RFC 7616)

HOBA

전자 서명 기반 인증 (RFC 7486)

Mutual

암호를 이용한 클라이언트-서버 상호 인증 (draft-ietf-httpauth-mutual)

AWS4-HMAC-SHA256

AWS 전자 서명 기반 인증 (링크)

 

위 인증 타입의 종류에서 나타난 것 처럼, bearer는 JWT와 OAuth를 나타내는 인증 타입인 것이에요.

 

substring() 메소드는 string 객체의 시작 인덱스로 부터 종료 인덱스 전 까지 문자열의 부분 문자열을 반환하는 것인데, Bearer라는 Prefix 길이 만큼의 모든 문자열을 받아서 문자열 변수인 jwtToken 변수에 넣어준 것이에요.

그리고 Prefix만큼을 제거하여 Authorization Token이 지닌 Claims를 반환받는 것이 바로 25번째 줄인 것이에요.

이렇게 한 뒤 Access Token에 대한 유효성 검사를 해서 일치하지 않는다면 401 Error를 반환할 것이에요.
이렇게 되면 Token을 가지고 있는지 여부와 Token이 유효한지 여부를 모두 검사한 것이에요.

그 다음으로 할 것은? 본격적으로 해당 이용자가 어떤 서비스를 이용할 때, 권한이 적절한지를 알아봐야겠지요?

먼저 JWT Payload(Claims)안에 들어 있을 token 이름과 이용자의 등급을 각각 뽑아뽑아 각각의 문자열 변수에 넣어준 것이에요.

반응형

 

37번째 줄부터 회원의 등급을 검사하는 것이에요. member의 Grade가 GUEST(손님) 이거나, FAMILY(가족)이라면?
403 Error로 권한이 없다는 것을 알려 줄 것이에요.

💡 [ HTTP 상태 403(Forbidden) 이란? ]
HTTP 상태 중 403(Forbidden)는 서버가 해당 요청을 이해했지만, 권한이 없어 요청이 거부되었음을 의미하는 상태.
즉, 클라이언트가 해당 요청에 대한 권한이 없다고 알려주는 것.
403(Forbidden) 응답을 받는 대표적인 경우는 로그인하여 인증되었지만 접근 권한이 없는 무언가를 요청하는 경우.
예를 들어 어떤 쇼핑몰에 접속하여 로그인까지 하였지만, 다른 사용자의 결제 내역을 달라고 하면 403(Forbidden)을 반환.

 

그런 다음 token의 이름을 비교해서 JwtUtil Class에 설정해 둔 ACCESS_TOKEN_NAME과 현재 이용자가 가지고 있는 ACCESS_TOKEN_NAME이 같은지를 비교해서 같다면 '참'을 반환하고, 아니면 '거짓'을 반환해 줄 것이에요.

 

주니하랑이 이용자 등급을 3가지로 나누었고, 그렇기 때문에 ADMIN, FAMILY, GUEST로써의 각각의 Interceptor들이 만들어진 것이에요. 각각의 Interceptor들은 위와 내용이 동일하기 때문에 오늘은 여기까지 공부 해 보도록 하겠습니다!