서블릿 필터 - 인증 체크 질문입니다.
203
작성한 질문수 192
public class LoginController {
private final LoginService loginService;
private final SessionManager sessionManager;
@PostMapping("/login")
public String loginV3(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult, HttpServletRequest request) {
if (bindingResult.hasErrors()) {
return "login/loginForm";
}
Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
if (loginMember == null) {
bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
return "login/loginForm";
}
//로그인 성공 처리
//세션이 있으면 있는 세션 반환, 없으면 신규 생성
HttpSession session=request.getSession();
//세션에 로그인 회원 정보 보관
session.setAttribute(SessionConst.LOGIN_MEMBER,loginMember);
return "redirect:/";
}@Slf4j
public class LoginCheckFilter implements Filter {
private static final String[] whitelist={"/","/members/add","/login","/logout","/css/*"}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest=(HttpServletRequest) request;
String requestURI = httpRequest.getRequestURI();
HttpServletResponse httpResponse=(HttpServletResponse) response;
try{
log.info("인증체크 필터 시작{}",requestURI);
if (isLoginCheckPath(requestURI)){//화이트 리스트가 아닐 때 true반환 로그인 상태가 필요한 사이트이라면
log.info("인증체크로직실행{}",requestURI);
HttpSession session = httpRequest.getSession(false);
if (session==null || session.getAttribute(SessionConst.LOGIN_MEMBER)==null){
log.info("미인증 사용자 요청{}",requestURI);
//로그인으로 redirect
httpResponse.sendRedirect("/login?redirectURL="+requestURI);//로그인 되면 다시 반환된 페이지로 로그인
return;
}
}
//화이트 리스트일 때
chain.doFilter(request,response);
}catch (Exception e){
throw e;//예외 로깅 가능하지만, 톰캣까지 에외를 보내주어야 한다.
}finally {
log.info("인증체크필터종료{}",requestURI);
}
{
}
}public String loginV3( 안에 HttpSession session=request.getSession(); 세션이 없으면 무조건 생성인데요.
class LoginCheckFilter는 httpRequest.getSession(false);이거는 왜 false인가요? 로그인과 관련된 페이지 잖아요. 로그아웃의 경우 없애버릴꺼여서 세션을 만들지 않는것까지 이해했는데요.
답변 1
0
안녕하세요. zzzzz님, 공식 서포터즈 y2gcoder입니다.
해당 필터는 로그인이 필요한 페이지에 접근하려고 할 때, 사용자가 로그인을 했는지 체크하는 필터입니다!
지금 현재 저희는 사용자가 로그인했는지에 대한 여부를 사용자 세션이 존재하는지로 체크하는 중입니다 🙂
그리고 request.getSession(); 은 HttpServletRequest 객체를 이용해서 사용자의 세션을 획득하는 메서드입니다. 이 때, 아시다시피 getSession();은 getSesstion(true); 와 같고 사용자의 세션이 없으면 생성해서 반환해주게 됩니다.
저희는 LoginCheckFilter에서 로그인이 필요한 페이지에서 사용자의 세션이 존재하는지 여부로 사용자의 로그인을 체크하고 있습니다. 그런데 사용자의 세션을 조회하는 로직에서 getSession();을 사용하면 사용자의 세션은 무조건 생기게 됩니다. 이는 의도한 바와 다른 동작이 됩니다. 그래서 getSession(false); 로 하여 사용자의 세션이 없을 때는 null이 반환하도록 체크 로직을 구성한 것입니다! 이러면 사용자가 로그인했던 적이 없어 세션이 생성된 적이 없으면 null을 반환하도록 해서 좀 더 체크가 용이합니다.
session.getAttribute(SessionConst.LOGIN_MEMBER)==null 을 통해서 체크해주면 되지 않느냐고 질문하실 수도 있다고 생각합니다! 다만 로그인을 체크하는 곳에서 로그인한 사용자에 대한 정보를 넣는 세션을 생성할 필요도 없고, 또한 세션을 만드는 것 또한 서버의 자원을 사용하는 것이기 때문에 getSession(false); 를 통해 세션 생성을 방지하는 것 또한 의미가 있다고 생각합니다!
감사합니다.
이미지 업로드와 db 트랜잭션 묶는법
0
43
1
Could not resolve org.springframework.boot:spring-boot-starter-validation:2.4.4
0
53
2
MessageSourceTest 코드
0
48
1
인터셉터 에러 설정
0
48
1
resolveArgument()메서드 질문
0
57
1
43강 검증1 에서 실패 로직 관련 질문있습니다.
0
57
2
타임리프 3.X 버전 rendering, serializer 에러 해결 방법
2
133
3
스프링 빈에 등록이 안되는거 같은데 어떻게 하면 좋을까요?ㅠㅠ
0
90
3
pdf 오타 문의
0
57
1
ItemUpdateForm 검증 관련 질문입니다.
0
49
1
22page 링크 주소 변경
0
59
2
특정 데이터와 파일을 함께 저장 시, 테이블 구조 질문
0
53
1
섹션3번 수업에 대한 질문입니다.
0
80
2
@Autowired 보다 더 좋은 방법이 어떤 걸까요?
0
85
2
타입컨버터 가 람다랑 비슷해 보이는데 저의 생각이 맞는지?.
0
65
1
자바스크립트 인라인에서 객체 직렬화 시 오류가 납니다
0
142
3
스프링부트 - 오류페이지2 에서 500.html 에서 쓰인 객체 질문
0
63
1
톰캣 에러 페이지가 안보입니다.
0
104
2
apiEceptionController에서 센드 에러 호출하면 안되는지?
0
81
1
세션 타임아웃시 쿠키 삭제 방법이 없나요?
0
118
2
ApiExceptionController 질문드립니다.
0
64
1
셀렉박스 챕터에서 option value에 ==배송 방식 선택== 이것을 넣은 이유가 궁금함, 이렇게 구상해도 되는지?
0
66
1
MemberRepository 필드의 fianl 선언 유무
0
85
2
혹시 index.html 에서는 fragment 사용이 안되는건가요
0
58
1