서블릿 필터 - 인증 체크 질문입니다. - 인프런

public class LoginController {
    private final LoginService loginService;
    private final SessionManager sessionManager;


    @PostMapping("/login")
    public String loginV3(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult, HttpServletRequest request) {
        if (bindingResult.hasErrors()) {
            return "login/loginForm";
        }
        Member loginMember = loginService.login(form.getLoginId(), form.getPassword());

        if (loginMember == null) {
            bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
            return "login/loginForm";
        }
        //로그인 성공 처리
        //세션이 있으면 있는 세션 반환, 없으면 신규 생성
        HttpSession session=request.getSession();
        //세션에 로그인 회원 정보 보관
        session.setAttribute(SessionConst.LOGIN_MEMBER,loginMember);

        return "redirect:/";
    }

@Slf4j
public class LoginCheckFilter implements Filter {
    private static final String[] whitelist={"/","/members/add","/login","/logout","/css/*"}


    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {


        HttpServletRequest httpRequest=(HttpServletRequest) request;
        String requestURI = httpRequest.getRequestURI();

        HttpServletResponse httpResponse=(HttpServletResponse) response;

        try{
            log.info("인증체크 필터 시작{}",requestURI);
            if (isLoginCheckPath(requestURI)){//화이트 리스트가 아닐 때 true반환 로그인 상태가 필요한 사이트이라면
                log.info("인증체크로직실행{}",requestURI);
                HttpSession session = httpRequest.getSession(false);
                if (session==null || session.getAttribute(SessionConst.LOGIN_MEMBER)==null){
                    log.info("미인증 사용자 요청{}",requestURI);
                    //로그인으로 redirect
                    httpResponse.sendRedirect("/login?redirectURL="+requestURI);//로그인 되면 다시 반환된 페이지로 로그인
                    return;
                }
            }
            //화이트 리스트일 때
            chain.doFilter(request,response);

        }catch (Exception e){
            throw e;//예외 로깅 가능하지만, 톰캣까지 에외를 보내주어야 한다.
        }finally {
            log.info("인증체크필터종료{}",requestURI);
        }
            {
        }

    }

public String loginV3( 안에 HttpSession session=request.getSession(); 세션이 없으면 무조건 생성인데요.

class LoginCheckFilter는 httpRequest.getSession(false);이거는 왜 false인가요? 로그인과 관련된 페이지 잖아요. 로그아웃의 경우 없애버릴꺼여서 세션을 만들지 않는것까지 이해했는데요.

안녕하세요. zzzzz님, 공식 서포터즈 y2gcoder입니다.

해당 필터는 로그인이 필요한 페이지에 접근하려고 할 때, 사용자가 로그인을 했는지 체크하는 필터입니다!

지금 현재 저희는 사용자가 로그인했는지에 대한 여부를 사용자 세션이 존재하는지로 체크하는 중입니다 🙂

그리고 request.getSession(); 은 HttpServletRequest 객체를 이용해서 사용자의 세션을 획득하는 메서드입니다. 이 때, 아시다시피 getSession();은 getSesstion(true); 와 같고 사용자의 세션이 없으면 생성해서 반환해주게 됩니다.

저희는 LoginCheckFilter에서 로그인이 필요한 페이지에서 사용자의 세션이 존재하는지 여부로 사용자의 로그인을 체크하고 있습니다. 그런데 사용자의 세션을 조회하는 로직에서 getSession();을 사용하면 사용자의 세션은 무조건 생기게 됩니다. 이는 의도한 바와 다른 동작이 됩니다. 그래서 getSession(false); 로 하여 사용자의 세션이 없을 때는 null이 반환하도록 체크 로직을 구성한 것입니다! 이러면 사용자가 로그인했던 적이 없어 세션이 생성된 적이 없으면 null을 반환하도록 해서 좀 더 체크가 용이합니다.

session.getAttribute(SessionConst.LOGIN_MEMBER)==null 을 통해서 체크해주면 되지 않느냐고 질문하실 수도 있다고 생각합니다! 다만 로그인을 체크하는 곳에서 로그인한 사용자에 대한 정보를 넣는 세션을 생성할 필요도 없고, 또한 세션을 만드는 것 또한 서버의 자원을 사용하는 것이기 때문에 getSession(false); 를 통해 세션 생성을 방지하는 것 또한 의미가 있다고 생각합니다!

감사합니다.

인프런 커뮤니티 질문&답변

서블릿 필터 - 인증 체크 질문입니다.