Spring Security + JWT 회원가입, 로그인 (3)

💡 지난 포스트에 이어서 Security의 403 Forbidden 에러를 핸들링 하는 Class를
설정해보겠습니다.


이전 포스팅은 해당 링크를 참조 해주시길 바랍니다.
https://developer-been.tistory.com/3

Spring Security + JWT 회원가입, 로그인 (2)

Spring Security
AccessDeniedHandler인터페이스와 AuthenticationEntryPoint인터페이스가 존재합니다.

💡 AccessDeniedHandler
서버에 요청을 할 때 액세스가 가능한지 권한을 체크후 액세스 할 수 없는 요청을 했을시 동작 됩니다.

💡 AuthenticationEntryPoint
인증 되지않은 유저가 요청을 했을때 동작 됩니다.

 

💡 구현하는 이유 ?

현재 Filter를 사용하여 Servlet단에서 검증을 하고 있는데, 이 때
1️⃣ 권한이 없는 액세스 요청 2️⃣ 인증이 되지 않은 요청
두 가지 경우 모두 403 forbidden 에러가 발생합니다.
이 경우에 DispatcherServlet단까지 닿을 수가 없고, Servlet단에서 종료가 됩니다.
이런 상황에 사용자 정의 에러 핸들링을 하기 위해서 사용합니다.

 

 

💡 사용방법
(1)번 글에서 WebSecurityConfig에 설정한 대로 클래스들을 명시 해줘야 합니다.

.and()
   .exceptionHandling().authenticationEntryPoint(customAuthenticationEntryPoint)
   .accessDeniedHandler(customAccessDeniedHandler)

 

 

📌 CustomAccessDeniedHandler Calss 생성

@Component
@Slf4j
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {

        log.error("Forbidden : 접근 권한이 없습니다.");

        httpServletResponse.setContentType("application/json; charset=UTF-8");
        httpServletResponse.setStatus(HttpStatus.OK.value());

        try (OutputStream os = httpServletResponse.getOutputStream()){

            BaseResDto baseResDto = new BaseResDto();
            baseResDto.setResultCode(ResultCode.ACCESS_NO_AUTH.getResultCode());
            baseResDto.setResultMessage(ResultCode.ACCESS_NO_AUTH.getResultMessage());

            ObjectMapper objectMapper = new ObjectMapper();
            objectMapper.writeValue(os, baseResDto);
            os.flush();
        }
    }
}

• 403 forbidden 에러 (AccessDeniedException) 발생시, AccessDeniedHandler를 구현한 해당 Custom클래스로 진입을 합니다.
• 사용자 정의 클래스를 내려주기 위해서 json type, status code 200으로 설정을 해줍니다.
• 사용자 정의 클래스를 생성하고, 사용자 정의 에러 메시지를 Set 합니다.
• ObjectMapper를 이용하여 write하고 flush 하면 Status 200 코드와 함께 사용자 정의 클래스를 Json 형태로 출력할 수 있습니다.

---

📌 CustomAuthenticationEntryPoint Calss 생성

 

💡 Jwt 검증시 발생하는 Exception을 처리해주기 위해 AuthenticationEntryPoint를 구현한 EntryPoint 입니다.
마찬가지로 403 forbidden Error가 발생하고, Servlet단에서 종료되기 때문에
사용자 정의 에러 핸들링을 하기 위해서 사용합니다.

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
        BaseResDto baseResDto = new BaseResDto();
        String exceptionType = (String) request.getAttribute("exception");

        if (exceptionType.equals("invalidSignature")) {
            baseResDto.setResultCode(ResultCode.SIGNATURE_EXCEPTION.getResultCode());
            baseResDto.setResultMessage(ResultCode.SIGNATURE_EXCEPTION.getResultMessage());
        } else if (exceptionType.equals("invalidJwt")) {
            baseResDto.setResultCode(ResultCode.MALFORMED_JWT_EXCEPTION.getResultCode());
            baseResDto.setResultMessage(ResultCode.MALFORMED_JWT_EXCEPTION.getResultMessage());
        } else if (exceptionType.equals("expiredJwt")) {
            baseResDto.setResultCode(ResultCode.ACCESS_TOKEN_EXPIRED.getResultCode());
            baseResDto.setResultMessage(ResultCode.ACCESS_TOKEN_EXPIRED.getResultMessage());
        } else if (exceptionType.equals("claimsEmpty")) {
            baseResDto.setResultCode(ResultCode.ILLEGAL_ARGUMENT_EXCEPTION.getResultCode());
            baseResDto.setResultMessage(ResultCode.ILLEGAL_ARGUMENT_EXCEPTION.getResultMessage());
        } else {
            baseResDto.setResultCode(ResultCode.UNSUPPORTED_JWT_EXCEPTION.getResultCode());
            baseResDto.setResultMessage(ResultCode.UNSUPPORTED_JWT_EXCEPTION.getResultMessage());
        }

        JSONObject jsonObject = new JSONObject();
        jsonObject.put("resultCode", baseResDto.getResultCode());
        jsonObject.put("resultMessage", baseResDto.getResultMessage());

        response.setStatus(HttpStatus.OK.value());
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(jsonObject);
        response.getWriter().flush();
    }
}

앞서 구현한 JwtTokenProvider.class의 validateToken() 함수에서 Jwt 관련 Exception을 분기 처리 했습니다.

 

과정은 아래와 같습니다.

1️⃣ 각 Exception마다 HttpServletRequest에 Attribute를 set 해준 상태에서, EntryPoint로 넘어옵니다.
2️⃣ EntryPoint에서 Attribute를 get 해서 사용자 정의 String을 확인 한 후에, 해당 Exception에 맞는 사용자 정의 클래스를 Set 해줍니다.
3️⃣ JSONObject에 사용자 정의 클래스를 Put 한 뒤, HttpServletResponse에 json type과 status 200 Code를 Set 합니다.
4️⃣ HttpServletResponse의 getWriter().print() 메소드를 이용해 json 문자열을 출력하고, 최종적으로 flush()를 통해 비워줍니다.

 

 

이렇게 403 forbidden 에러를 핸들링 하는 방법을 살펴봤습니다.
Servlet단에서 종료되버리는 에러때문에 사용자 정의 메시지를 내려줄 수 없을때
사용할 수 있는 방법이 되겠습니다.