[2023.06.10 수정] Spring Filter 도입하기

1. Filter와 OncePerRequestFilter의 차이

•  Servlet은 사용자의 요청을 받으면, Servlet을 생성해 메모리에 저장해 두고, 같은 클라이언트의 요청을 받으면 생성해둔 Servlet객체를 재활용하여 요청을 처리한다.
•  Spring (주로 Spring Security)에서는 RequestDispatcher 클래스를 이용해 사용자의 요청에 의해 생성된 Servlet에서 다른 Servlet으로 dispatch하는 경우가 있는데, 이때 Filter가 두번 실행된다.
•  OncePerRequestFilter의 경우 사용자 요청 당 한 번의 Filter만 적용되는 것이 보장된다.

 

참고 글 :

Spring Security에서 사용되는 RequestDispatcher [https://dev-ppyong.tistory.com/12]

Filter와 OncePerRequestFilter의 차이 [https://minkukjo.github.io/framework/2020/12/18/Spring-142/]

RequestDispatcher와 HttpServletResponse#sendRedirect의 차이​ [https://dololak.tistory.com/502]

 

2. Requset Header, Body 내용 변경 및 추가하기

• OncePerRequestFilter에서는 doFilterInternal() 함수를 이용해 servlet Request, Response Filter를 수행한다.
• Filter를 사용하는 것은 Request 또는 Reponse의 값의 body나 header 값을 검증, 변경, 추가하는 목적이 있다. 하지만 HttpServletRequest 객체의 값은 직접 수정할 수 없어, HttpServletRequestWrapper, HttpServletResponseWrapper을 상속받아 직접 구현할 수 있다.
• getHeader의 return이 not null이 되게 할 수 있지만, spring boot를 사용한다면 기본 필터가 적용되어 사용하지 않는 header를 호출할 수 있다. 그래서 getHeader를 사용할 때 null이 반환이 가능해야 오류가 발생하지 않는다.
• header의 값의 직접 수정이나 추가를 지양하자.
  • 함수로 받아온 변수를 직접 수정하는 일은 거의 없다. 헤더도 마찬가지로 클라이언트가 보내온 변수로 여기고 수정을 지양하자.
• Requset Header에 값 추가하기 (Spring Boot, Kotlin)

class RequestHeaderWrapper(request: HttpServletRequest) : HttpServletRequestWrapper(request) {
    private val headerMap = mutableMapOf<String, String?>()

    fun addHeader(name: String, value: String?) { headerMap[name] = value }

    override fun getHeader(name: String): String? {
        var headerValue = super.getHeader(name)
        if (headerMap.containsKey(name)) {
            headerValue = headerMap[name]
        }
        return headerValue
    }

    override fun getHeaderNames(): Enumeration<String> {
        val names: List<String> = Collections.list(super.getHeaderNames()).apply {
            headerMap.forEach { name -> this.add(name.key) }
        }.distinct()

        return Collections.enumeration(names)
    }

    override fun getHeaders(name: String): Enumeration<String?> {
        val values: List<String?> = Collections.list(super.getHeaders(name)).apply {
            if (headerMap.containsKey(name)) {
                this.add(headerMap[name])
            }
        }

        return Collections.enumeration(values)
    }
}

override fun doFilterInternal(
   request: HttpServletRequest,
   response: HttpServletResponse,
   filterChain: FilterChain
) {
   val accessToken = "testAccessToken"
   val requestWrapper = if (accessToken.isNullOrEmpty()) {
      request
   } else {
      val requestWrapper = RequestHeaderWrapper(request)
      requestWrapper.addHeader("X-Requester-Access-Token", accessToken)
      requestWrapper
   }

   filterChain.doFilter(requestWrapper, response)
}

참고 글 :

Requset Header 추가하기 [http://makble.com/adding-http-headers-to-requests-in-filters-and-servlets]

 

3. Filter chain의 순서 정하기 (+ Spring Security Filter)

• FilterRegistrationBean에 순서(Order)설정 말고도 다양한 세팅을 해줄 수 있다.

@Configuration 
public class ServletConfig { 

   @Bean
   public firstFilter(): FilterRegistrationBean<FirstFilter> { 
      val registrationBean = FilterRegistrationBean(FirstFilter())
      registrationBean.setOrder(1); 
      return registrationBean; 
   } 
   
   @Bean 
   public firstFilter(): FilterRegistrationBean<SecondFilter>{ 
      val registrationBean = FilterRegistrationBean(SecondFilter())
      registrationBean.setOrder(2); 
      return registrationBean; 
   } 
 }

• Spring Security를 사용할 경우 자동으로 제공해주는 Filter들이 존재한다.
• Spring Secuirty가 제공하는 Filter 확인하기 위해 @EnableWebSecurity(debug = true)를 붙이고 실행하면, Security의 Filter목록이 log로 출력된다.

@Configuration
@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  ...
}

 

• Spring Secuirty가 제공하는 Filter보다 사용자 정의 Filter를 먼저 사용하고 싶다면 application.yaml 파일에  spring.security.filter.order=10을 추가해준다. spring security Filter앞에 10개의 사용자 정의 Filter를 추가할 수 있다.

참고 글 :

FilterChain이란? [https://dololak.tistory.com/599]

Filter 순서 설정하기 [https://www.baeldung.com/spring-boot-add-filter]

Spring Security Filter chain 확인 [https://vsh123.github.io/spring%20security/Spring-Security-Filter-chain/]

Spring Security Filter 보다 사용자 정의 Filter 먼저 사용 [https://12teamtoday.tistory.com/141]