defaultSuccessUrl 작동 순서

Question

안녕하세요 수업을 듣고, defaultSuccessUrl 작동 순서가 궁금하여 질문 드립니다. 이번 강의에서 로그인 성공시, 처리하는 API가 2개가 있었습니다. 하나는 defaultSuccessUrl이고 나머지는 successHandler입니다. 예제를 통해 successHandler가 잘 동작하는것은 확인 했습니다. 그럼 defaultSuccessUrl는 언제 동작하는지 궁금하여 테스트를 해봤습니다. 제 가설은 우선순위가 successHandler 가 높고 successHandler가 없을때, 말 그대로 디폴트값인 defaultSuccessUrl가 동작할거라고 가설을 세웠습니다. 테스트 방법은 successHandler를 주석처리하고 defaultSuccessUrl("/aa")라고 설정해두고 해당 경로는 없는 경로로 오류가 나길 기대하고 있었습니다. 그런데 로그인 성공 후, /aa로 가지 않고 루트 경로인 / 여기로 리다이렉트 되었습니다. 그리고 테스트 중에 발견한 것은, 최초 로그인 성공시 / 루트 경로로 리다이렉트가 되고, /logout에서 로그아웃을 하고 다시 로그인 성공을 하면 그제서야 /aa로 리다이렉트 되는것을 확인했습니다. 정확하게 defaultSuccessUrl 이게 어떻게 동작하는것인지 알 수 있을까요? 감사합니다.

정수원 · Answer

네  defaultSuccessUrl 은 로그인 성공 후에 이동할 경로를 정해주는 것은 맞지만 우선순위는 가장 마지막입니다. 강의 중에 SavedRequest 와 RequestCache 와 관련된 내용이 나오는데 스프링 시큐리티는 기본적으로 로그인을 성공하게 되면 제일 먼저 로그인을 성공하기 직전에 거쳐왔던 Url 정보를 기억하고 있다가 성공하게 되면 그 Url로 리다이렉트 합니다. 위의 경우에는 로그인을 성공하기 전의 Url 이 루트 경로였기 때문에 그렇습니다. 즉 defaultSuccessUrl 보다 더 우선적으로 SavedRequest 와 RequestCache 를 사용해서 나온 경로를 먼저 참조하고 만약 값이 없을 경우 그 다음에 request.getParameter("경로") 의 값이 있는지 확인하고 이 외에도 우선순위에 따라 targetUrl 을 계속 구하다가 아무런 값도 못 얻었을 경우 defaultSuccessUrl 에서 설정한 경로를 참조해서 리다이렉트 합니다. 그리고 로그아웃 한다음 로그인을 했을 경우 /aa 로 간 이유는 로그아웃을 하게 되면 세션 만료로 인해 SavedRequest 와 RequestCache 에서 아무런 Url 정보를 얻을 수 없게 됩니다. 그래서 defaultSuccessUrl 에서 설정한  /aa 로 리다이렉트 한 것이라 보면 됩니다.  참고로 RequestCache 의 구현체인 HttpSessionRequestCache 은 세션을 사용해서 SavedRequest 를 저장하고 SavedRequest 에는 이전의 Url 경로가 저장되어 있습니다. 근데 만약  http .formLogin() .defaultSuccessUrl( "/aa",true ) 처럼 두번째 인자로 항상 기본 값을 사용할 것인지를 설정할 수 있는데 기본값은 false 로 되어 있습니다. 이 값을 true 로 주게 되면 로그인을 성공한 다음 무조건 /aa 로 가게 됩니다.  보통 기본 값이라는 것은 특별한 설정을 하지 않을 경우 오류가 나거나 null 값을 가지지 않도록  하기 위한 목적으로 사용하기 때문에 특별한 이유가 없으면 SuccessHandler 를 사용해서 직접 리다이렉트 하는 방식으로 하면 좋을 것 같습니다.

Byunghyun Yoon · Answer

답변 너무 자세하게 달아주셔서 이해가 정말 잘 됐습니다. 감사합니다!