인증이 필요한 URL 공통 관리

문제 개요

현재, 인증이 필요한 URL 목록은  `AuthFilter`와 `SecurityConfig`에서 사용되고 있습니다.

• AuthFilter에서는 어떤 요청이 들어올 때, 인증이 필요한 경우 Access 토큰을 검증합니다. 이때, 인증이 필요한 URL 목록을 통해 필터링하지 않으면, 인증이 필요 없는 요청까지 Access 토큰을 검증하여 인증 에러가 발생할 수 있습니다. 이를 해결하기 위해 다음 메서드를 통해 URL 통과 여부를 결정합니다.

@Override
protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {
    return super.shouldNotFilter(request);
}

 

• SecurityConfig에서는 해당 URL에 접근하는 사용자가 인증된 사용자인지 확인해야 합니다. 아래와 같이 requestMatchers().authenticated() 설정을 통해 인증이 필요한 URL을 정의합니다.

.authorizeHttpRequests(auth -> auth
        .requestMatchers().authenticated()
        .anyRequest().permitAll()
)

이처럼 인증이 필요한 URL 목록이 두 곳에서 사용되는데, 각각을 따로 관리하다 보면 새로운 URL이 추가될 때마다 양쪽에 모두 반영해야 하는 번거로움이 생깁니다. 또한, 한쪽에서 URL이 누락될 가능성도 있어 유지보수에 좋지 못합니다.

 

해결 방법

앞서 언급한 문제를 해결하기 위해 `AuthUrlManager`를 도입하여 인증이 필요한 URL을 한곳에서 관리하도록 했고, 이를 AuthFilter와 SecurityConfig에서 공통으로 참조하도록 구현했습니다.

• AuthUrlManager 구현

public class AuthUrlManager {

    public static RequestMatcher[] getUserRequestMatchers() {
        return new RequestMatcher[]{
                new AntPathRequestMatcher("/api/auths/me"),
                new AntPathRequestMatcher("/api/auths/logout"),

                new AntPathRequestMatcher("/api/stores/**"),

                new AntPathRequestMatcher("/api/reviews/**"),

                new AntPathRequestMatcher("/api/bookmarks/**"),

                new AntPathRequestMatcher("/api/search/**"),

                new AntPathRequestMatcher("/api/inquiries", "POST"),
                new AntPathRequestMatcher("/api/inquiries/{inquiryId}", "PUT"),
                new AntPathRequestMatcher("/api/inquiries/{inquiryId}", "DELETE"),

                new AntPathRequestMatcher("/api/notices", "POST"),
                new AntPathRequestMatcher("/api/notices/{noticeId}", "PUT"),
                new AntPathRequestMatcher("/api/notices/{noticeId}", "DELETE")
        };
    }
}

 

• AuthFilter에서의 활용

@Override
protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {
    return Arrays.stream(AuthUrlManager.getUserRequestMatchers())
            .noneMatch(matcher -> matcher.matches(request));
}

 

• SecurityConfig에서의 활용

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http    
            ...
            
            .authorizeHttpRequests(auth -> auth
                    .requestMatchers(AuthUrlManager.getUserRequestMatchers()).authenticated()
                    .anyRequest().permitAll()
            
            ...
            
            )
    return http.build();
}

 

결과

AuthUrlManager를 도입함으로써 새로운 URL이 추가되더라도 AuthUrlManager만 수정하면 되므로, 유지보수가 간편해졌습니다.