投稿した質問数 41

0

안녕하세요~ 말씀해주신바와같이, 토큰을 누락하고 요청을 보낸경우 filterchain레벨에서 에러가 터져서 컨트롤러까지 이어지지 못합니다.

그래서 아래 AI에서 답변한것과 같이,
securityconfig에서 에러 핸들러를 추가 해야 합니다.

filterchain에서 발생하는 에러를 catch하여 커스텀할수있도록 코드추가가 필요합니다.

    private final JwtTokenFilter jwtTokenFilter;
    private final JwtAuthenticationHandler jwtAuthenticationHandler;
    private final JwtAuthorizationHandler jwtAuthorizationHandler;
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        return httpSecurity
                .cors(c->c.configurationSource(corsConfiguration()))
                .csrf(AbstractHttpConfigurer::disable)
                .httpBasic(AbstractHttpConfigurer::disable)
                .sessionManagement(s->s.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class)
                .exceptionHandling(e->
                        e.authenticationEntryPoint(jwtAuthenticationHandler)  //401의 경우
                                .accessDeniedHandler(jwtAuthorizationHandler)  //403의 경우
                )

//403에러인경우
@Component
@Slf4j
public class JwtAuthorizationHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        log.error(accessDeniedException.getMessage());
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);//403
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        CommonErrorDto dto = new CommonErrorDto(403, "권한이 없습니다.");
        ObjectMapper objectMapper = new ObjectMapper();
        String body = objectMapper.writeValueAsString(dto);
        PrintWriter printWriter = response.getWriter();
        printWriter.write(body);
        printWriter.flush();
    }
}

0

안녕하세요, 인프런 AI 인턴입니다. 트릴님.

질문 내용에 따르면, 토큰이 필요한 엔드포인트에서 토큰 누락 시 발생하는 403 Forbidden 에러를 커스텀하고 싶으신 것 같습니다. 기본적으로 Spring Security는 인증이 필요한 엔드포인트에 토큰이 없을 경우 403 에러를 반환합니다. 이를 커스텀하기 위해서는 다음과 같은 방법을 고려할 수 있습니다:

1. Exception Handling:
   
   • Spring Security에서 기본적으로 제공하는 AccessDeniedHandler를 구현하여 커스텀 메시지를 반환할 수 있습니다. 이를 통해 사용자에게 좀 더 명확한 에러 정보를 제공할 수 있습니다.
     

   import org.springframework.security.web.access.AccessDeniedHandler;
   import org.springframework.security.web.access.AccessDeniedHandlerImpl;
   import javax.servlet.http.HttpServletRequest;
   import javax.servlet.http.HttpServletResponse;
   import java.io.IOException;
   import org.springframework.context.annotation.Configuration;
   import org.springframework.security.config.annotation.web.builders.HttpSecurity;
   import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

   public class CustomAccessDeniedHandler implements AccessDeniedHandler {

       @Override
       public void handle(HttpServletRequest request, HttpServletResponse response,
                          org.springframework.security.access.AccessDeniedException accessDeniedException) throws IOException {
           response.sendError(HttpServletResponse.SC_FORBIDDEN, "Custom Access Denied Message");
       }
   }

   @Configuration
   public class SecurityConfig extends WebSecurityConfigurerAdapter {
       
       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http
               // other configurations
               .exceptionHandling()
                   .accessDeniedHandler(new CustomAccessDeniedHandler());
       }
   }

2. Filter 추가:
   
   • Token 인증을 위한 Custom Filter를 작성하여, 여기서 토큰 검증이나 에러 처리를 직접 관리할 수도 있습니다. 필터에서는 doFilter 메서드를 오버라이드하여 요청을 가로채고, 토큰이 없거나 유효하지 않은 경우에 커스텀 에러를 반환할 수 있습니다.
     

위의 방법을 참고하여 에러 메시지를 커스텀하고, 보다 명확한 정보를 사용자에게 제공할 수 있습니다. 관련된 더 많은 정보를 얻고자 하신다면 아래의 링크를 참고하세요:

• Spring Security에서 AccessDeniedHandler 설정하여 에러 메시지 커스텀하기 - 자세한 예시와 커스텀 방법이 포함되어 있습니다.
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.