포스트

240313 기록, ATK 검증

게시
By Kim Jung Wook 3 분읽는 시간

JWTFilter

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

  // 헤더에서 access키에 담긴 토큰을 꺼낸다
  String accessToken = request.getHeader("access");

  // 토큰이 없다면 다음 필터로 넘긴다
  // 인증,인가 검증이 필요없는 서비스 요청도 있기 때문이다
  if(accessToken == null){
    filterChain.doFilter(request, response);
    return;
  }

  // 토큰이 있다면 유효성 검사를 진행한다
  // 중요한 점은 유효성이 만료가 되었으면 다음 필터로 넘기지 않는다. 프론트로 상태를 전달한다
  try{
    jwtUtil.isExpired(accessToken);

  // 유효기간 만료 시 예외가 날라온다
  } catch (ExpiredJwtException e){

    // response body
    PrintWriter writer = response.getWriter();
    writer.print("access token expired");

    // response status code
    // 상태코드를 프론트로 넘기고, 다음 필터로 전송하지 않는다!!
    response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    return;
  }

  // 토큰이 acceess 인지 확인 (발급 시 페이로드에 명시한다)
  String category = jwtUtil.getCategory(accessToken);

  if(!category.equals("access")){

    // response body
    PrintWriter writer = response.getWriter();
    writer.print("invalid access token");

    // response status code
    response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    return;
  }

  // 유효기간과 acceess 토큰의 검증이 끝나면 username과 role을 꺼낸다
  String username = jwtUtil.getUsername(accessToken);
  String role = jwtUtil.getRole(accessToken);

  // 정보를 userEntity에 담는다
  User user = new User();
  user.setEmail(username);
  user.setRole(role);

  // UserDetails에 담는다
  MyUserDetails myUserDetails = new MyUserDetails(user);

  // 스프링 시큐리티에 인증 토큰 생성
  Authentication authToken = new UsernamePasswordAuthenticationToken(myUserDetails, null, myUserDetails.getAuthorities());
  SecurityContextHolder.getContext().setAuthentication(authToken);

  filterChain.doFilter(request, response);
}
  • 기존의 단일토큰 생성 후 검증 로직을 삭제하고 accessToken 검증 로직을 추가하였다.
  • 여기서 의문점이 들었다.
    • 단일 토큰 생성 후 검증에서는 유효기간 검사 로직의 반환 타입이 boolean이라서 if로 받아서 만료 시 로직을 수행하였다
    • 하지만 다중 토큰에서는 유효기간이 만료되면 예외가 날라온다고 하여서 의문이 들어서 강의를 만든 제작자에게 질문을 하였다.
    • 결론 : 원래 예외가 날라오는게 맞고 엄밀히 말하면 단일 토큰에서 진행하였던 유효 기간 만료 검증 코드가 잘못된거라고 하셨다.
    • 필요에 따라서 JWTUtil에서 예외 발생 시 로직을 수행하여 return의 값을 넣어도 된다고 하셨다.
  • 다중 토큰에서 중요한 것은 토큰이 없거나 유효 기간이 만료가 되었을 때 다음 filter로 넘기면 안된다는 것이었다.
깃 주소

GitHub

MSAProject
MSAProject