서블릿 필터(Servlet Filter)

  이번 글에서는 서블릿 필터(Servlet Filter)의 개념에 대해서 알아보고, '요청 로그 예제'와 '인증 체크 예제'를 통해서 어떻게 필터를 사용하는지 알아보고자 한다.

 

1. 개념 🌌

📘 1. 필터 흐름

  필터는 기본적으로 다음과 같은 흐름을 가진다.

HTTP 요청 → WAS → 필터 → 서블릿(Dispatcher Servlet) → 컨트롤러

  필터를 적용하면 필터가 호출되고 그리고 서블릿이 호출된다. 즉, 서블릿이 호출되기 전에 필터가 호출되는 것이다. 그렇게 때문에 모든 고객의 요청 로그를 남기거나 인증 체크(로그인 여부 등)등의 행위를 필터를 이용해서 할 수 있다.

📘 2. 필터 제한

  필터에서는 로그인하지 않은 사용자의 접근과 같이 적절하지 않은 요청에 대하여 판단하고 거기에서 끝을 낼 수 있다.

(1) 로그인한 사용자인 경우
HTTP 요청 → WAS → 필터(로그인 O) → 서블릿 → 컨트롤러
(2) 로그인하지 않은 사용자인 경우
HTTP 요청 → WAS → 필터(로그인 X)

📘 3. 필터 체인

  필터는 체인으로 구성된다.

HTTP 요청 → WAS → 필터1 → 필터2 → 필터3 → 서블릿 → 컨트롤러

  그래서 여러 필터를 적용할 수 있다. 예를 들어 로그를 남기는 필터를 먼저 적용하고 그리고 로그인 여부를 체크하는 필터를 적용할 수 있다.

📘 4. 필터 인터페이스

public interface Filter {

    default void init(FilterConfig filterConfig) throws ServletException {}
    
    void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException;

    default void destroy() {}
}

  필터를 사용하기 위해서는 필터 인터페이스를 구현하고 등록하면 된다. 그러면 서블릿 컨테이너가 필터를 싱글톤 객체로 생성하고 관리한다. 각각의 메서드는 다음과 같은 역할을 한다.

• init()
  필터 초기화 메서드
  서블릿 컨테이너가 생성될 때 호출된다.
• doFilter()
  고객의 요청이 올 때마다 해당 메서드가 호출된다.
  필터 로직을 구현하면 된다.
• destroy()
  필터 종료 메서드
  서블릿 컨테이너가 종료될 때 호출된다.

  init()과 destroy()는 default 메서드이므로 오버라이딩을 꼭 해야만 하는 것은 아니다.

 

2. 요청 로그 예제 🪐

@Slf4j
public class LogFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("log filter init");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String requestURI = httpRequest.getRequestURI();

        String uuid = UUID.randomUUID().toString(); // HTTP 요청을 구분하기 위한 것

        try{
            log.info("REQUEST [{}][{}]", uuid, requestURI);
            chain.doFilter(request, response);
        } catch (Exception e) {
            throw e;
        } finally {
            log.info("RESPONSE [{}][{}]", uuid, requestURI);
        }
    }

    @Override
    public void destroy() {
        log.info("log filter destroy");
    }
}

  파라미터 타입이 HttpServletRequest가 아닌 ServletRequest인 이유는 필터 인터페이스는 HTTP 요청이 아닌 경우까지 고려해서 만들었기 때문이다. 그래서 request를 HttpServletRequest라고 다운캐스팅 해주었다.

  chain.doFilter(request, response)를 이용하여 다음 필터가 있으면 다음 필터를 호출하고, 없으면 서블릿을 호출한다. 이걸 생략하면 다음 단계로 진행이 되지 않는다.

@Configuration
public class WebConfig {

    @Bean
    public FilterRegistrationBean logFilger() {
        FilterRegistrationBean<Filter> filterRegistrationBean
                = new FilterRegistrationBean<>();

        filterRegistrationBean.setFilter(new LogFilter()); // 등록할 필터 지정
        filterRegistrationBean.setOrder(1); // 체인 순서 지정
        filterRegistrationBean.addUrlPatterns("/*"); // 필터를 적용할 URL 패턴 지정
        return filterRegistrationBean;
    }
}

  FilterRegistrationBean을 이용해서 등록해 주면 된다.

  setFilter()를 이용해서 사용할 필터를 등록하고, setOrder()를 이용해서 체인 순서를 정하고, addUrlPatterns()를 이용해서 필터를 적용할 URL을 지정하면 된다.

  실행시켜 보면 로그는 아래와 같이 나오게 된다.

2023-04-29T21:58:44.599+09:00 INFO 16520 --- [ main] com.filter.LogFilter : log filter init
2023-04-29T21:58:47.135+09:00 INFO 16520 --- [nio-8080-exec-1] com.filter.LogFilter : REQUEST [14e2840a-84d3-43a3-9275-f03fab226e31][/]
2023-04-29T21:58:47.661+09:00 INFO 16520 --- [nio-8080-exec-1] com.filter.LogFilter : RESPONSE [14e2840a-84d3-43a3-9275-f03fab226e31][/]
2023-04-29T21:59:05.150+09:00 INFO 16520 --- [ionShutdownHook] com.filter.LogFilter : log filter destroy

 

3. 인증 체크 예제 🌍

@Slf4j
public class LoginCheckFilter implements Filter {

    // 인증 체크를 하지 않을 것들
    private static final String[] whitelist = {"/", "/members/add", "/login", "/logout", "/css/*"};

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String requestURI = httpRequest.getRequestURI();

        HttpServletResponse httpResponse = (HttpServletResponse) response;

        try {
            log.info("인증 체크 필터 시작 {}", requestURI);

            // 로그인 여부를 확인해야 하는 경로인 경우
            if (isLoginCheckPath(requestURI)) {
                log.info("인증 체크 로직 실행 {}", requestURI);
                HttpSession session = httpRequest.getSession(false);

                // 인증이 되지 않은 사용자인 경우
                if (...) {
                    log.info("미인증 사용자 요청 {}", requestURI);
                    //로그인으로 redirect
                    httpResponse.sendRedirect("/login?redirectURL=" + requestURI);

                    // 미인증 사용자는 더 이상 진행하지 않기
                    return;
                }
            }

            // 로그인 여부를 확인하지 않아도 되는 경로이거나
            // 인증된 사용자인 경우
            // 계속 진행
            chain.doFilter(request, response);
        } catch (Exception e) {
            throw e;
        } finally {
            log.info("인증 체크 필터 종료 {}", requestURI);
        }
    }

    private boolean isLoginCheckPath(String requestURI) {
        return !PatternMatchUtils.simpleMatch(whitelist, requestURI);
    }
}

@Configuration
public class WebConfig {

    @Bean
    public FilterRegistrationBean loginCheckFilger() {
        FilterRegistrationBean<Filter> filterRegistrationBean
                = new FilterRegistrationBean<>();

        filterRegistrationBean.setFilter(new LoginCheckFilter()); // 등록할 필터 지정
        filterRegistrationBean.setOrder(2); // 체인 순서 지정
        filterRegistrationBean.addUrlPatterns("/*"); // 필터를 적용할 URL 패턴 지정
        return filterRegistrationBean;
    }
}

  '홈, 회원가입, 로그인, css'와 같은 곳에는 인증과 무관하게 항상 접근할 수 있어야 한다. 그래서 whitelist라는 것을 만들어서 인증 체크 로직에서 배제해 주었다.

  인증이 허용되지 않으면 login 화면으로 이동하게 하였는데, 뒤에 redirectURL을 파라미터로 붙여주었다. 그 이유는 로그인을 한 이후 다시 원래 페이지로 돌아오게 하기 위해서다. 

 

  추가적으로 인터셉터(Interceptor)와 달리 필터는 doFilter(request, response)를 호출할 때 request와 response를 다른 객체로 바꿀 수 있다는 것을 참고 사항으로 알아두자.

 

해당 글은 김영한 님의 '스프링 MVC 2편 - 백엔드 웹 개발 활용 기술'을 참고하였습니다.