인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

민혁님의 프로필 이미지
민혁

작성한 질문수

호돌맨의 요절복통 개발쇼 (SpringBoot, Vue.JS, AWS)

인터셉터 활용?

해결된 질문

작성

·

678

0

안녕하세요 호돌맨님!

JWT 관련 강의에서 ArgumentResolver를 활용해 토큰 검증을 하고 사용자 정보를 추출해 반환하셨는데, 만약 프로젝트를 진행할 때 로그인을 해야 모든 URL에 접근할 수 있다고 한다면 아래 코드처럼 인터셉터에서 토큰 검증을 하고 ArgumentResolver에선 별다른 검증 없이 subject만 추출해서 반환해도 문제가 없을까요? 혹시 제가 접근 자체를 잘못하고 있다면 알려주시면 감사하겠습니다

@Slf4j
@RequiredArgsConstructor
public class LoginCheckInterceptor implements HandlerInterceptor {

    private final JwtService jwtService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String requestURI = request.getRequestURI();
        log.info("인증 체크 인터셉터 실행 {}", requestURI);
        String accessToken = request.getHeader("Authorization");
        jwtService.validateAccessToken(accessToken);

        try {
            jwtService.getSubject(accessToken);
        } catch (JwtException e) {
            throw new Unauthorized();
        }

        return true;
    }
}

@RequiredArgsConstructor
public class JwtArgumentResolver implements HandlerMethodArgumentResolver {

    private final JwtService jwtService;

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        boolean hasLoginAnnotation = parameter.hasParameterAnnotation(Login.class);
        boolean hasLoginType = LoginUser.class.isAssignableFrom(parameter.getParameterType());
        return hasLoginAnnotation && hasLoginType;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
        String accessToken = webRequest.getHeader("Authorization");

        Long userId = jwtService.getSubject(accessToken);
        log.info("userId = {}", userId);
        return new LoginUser(userId);

    }
}
vue.jsawsspring-bootjpaspring-security

답변 2

0

호돌맨님의 프로필 이미지
호돌맨
지식공유자

안녕하세요. 호돌맨입니다.
질문을 남겨주셔서 감사합니다.

로그인을 해야 접근할 수 있으니 로그인여부는 Interceptor에서 하시고
사용자 정보가 필요한경우만 ArgumentResolver에서 진행하신거죠?

아주아주 훌륭하십니다. ~~ 짝짝짝!

호돌맨님의 프로필 이미지
호돌맨
지식공유자

다만 두 번 검증하는 느낌적인 느낌보다
인터셉터에서 모든 검증, 사용자정보 조회(getSubject)를 마치고 해당 정보를
ArgumentResolver로 넘길 수 있을지 생각해보는것도 좋을것 같습니다.
request.setAttribute로 할 수 있으려나..? ㅎㅎ

감사합니다.

민혁님의 프로필 이미지
민혁
질문자

말씀하신대로 진행하니 훨씬 더 좋은 코드가 된 것 같습니다
바쁘실텐데 답변해주셔서 감사합니다!

0

인프런 AI 인턴님의 프로필 이미지
인프런 AI 인턴

안녕하세요, 인프런 AI 인턴이에요. 인터셉터에서 토큰 검증을 한 후 반환되는 것이 Subject 뿐이라면 JWTArgumentResolver에서 추가적인 검증을 할 필요는 없어 보입니다. 다만, JWTArgumentResolver에서 사용자 정보를 추출하기 전에 인터셉터에서 토큰 검증을 한다면, 사용자 정보를 추출하기 전에 요청이 거부되어 사용자 정보를 추출하지 않고 예외를 발생시키기 때문에 불필요한 작업을 줄일 수 있습니다. 하지만 이는 상황에 따라 다르기 때문에 프로젝트 특성에 맞게 검증 방법을 결정하는 것이 좋습니다. 감사합니다.

민혁님의 프로필 이미지
민혁

작성한 질문수

전체 Q&A
질문하기