필터 순서파악

Question

WebSecurityConfigurerAdapter 추상클래스를 extends하는 securityConfig클래스는 기본적으로 위와 같은 방식으로 API가 호출됩니다. 질문1. API호출 순서대로 필터가 배치되는지 궁금합니다. 즉, 요청이 들어올 때 요청이 만나게 되는 필터의 순서가 csrf 필터를 시작으로 basicAuthenticationFilter로 끝나는 것인지 알고싶습니다. 질문2. RememberMe API를 설정클래스에서 호출하면 RememberMeAuthenticationFilter가 추가가 되는데 이때 위 그림에 나와있는 필터들 사이에 몇번째 순번으로 위치하는지를 단번에 파악할 수 있는 방법이 있을까요? 제가 현재 떠오르는 방법은 위 모든 Filter들에 중단점을 하나씩 걸어놓고 디버깅 흐름을 체크하는 고된 방법입니다ㅠㅠ

정수원 · Answer

네 필터들의 목록들을 체인형식으로 관리하는 클래스가 FilterChainProxy 입니다. 일단 이 클래스에서 어떤 필터들을 가지고 있는지와 순서들을 확인할 수 있습니다. 그리고 이 클래스의 메소드 중에서 @Override public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException { if (this.currentPosition == this.size) { if (logger.isDebugEnabled()) { logger.debug(LogMessage.of(() -> "Secured " + requestLine(this.firewalledRequest))); } // Deactivate path stripping as we exit the security filter chain this.firewalledRequest.reset(); this.originalChain.doFilter(request, response); return; } this.currentPosition++; Filter nextFilter = this.additionalFilters.get(this.currentPosition - 1); if (logger.isTraceEnabled()) { logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(), this.currentPosition, this.size)); } nextFilter.doFilter(request, response, this); } 가 있는데 위의 구문에서 nextFilter.doFilter(request, response, this); 여기에 브레이크 포인트를 걸어 두시면 현재 다음 필터를 확인할 수도 있습니다. FilterChainProxy 의 임의지점에 중단점을 걸어두고 전반적으로 속성들을 확인해 보시기 바랍니다.