[Spring] 필터(Filter)와 인터셉터(Interceptor)

Spring Framework/Spring & Spring Boot

[Spring] 필터(Filter)와 인터셉터(Interceptor)

soogoori 2024. 3. 18. 17:39

Spring Security를 구현하다보면 filter와 interceptor를 사용하는 것을 볼 수 있다.

필터와 인터셉터에 대한 개념을 이해하면 Spring Security 과정을 파악하기 쉬울 것이기에 기록한다!

✨ 용도 - 공통관심사항 (Cross-cutting concern)

👉 웹 서비스에서 로그인을 해야 다양한 기능을 이용할 수 있으며 로그인 여부에 따라 접근할 수 있는 페이지가 다르다.
그렇다면 로그인이 필요한 모든 컨트롤러 로직에 로그인과 관련된 코드를 작성해야할텐데... 이렇게 된다면 코드가 중복될 것이고 복잡해질 것이다.

많은 로직에서 공통으로 관심 있는 부분을 공통 관심 사항이라고 하며 이를 스프링의 AOP로도 해결할 수 있지만 웹에서는 서블릿 필터와 스프링 인터셉터로 처리할 수 있다.
👉 HTTP의 헤더나 URL 정보 (특정 URL일 때 인증) ➔ HttpServletRequest를 제공하는 서블릿 필터, 스프링 인터셉터 사용

서블릿 필터 & 스프링 인터셉터

필터는 서블릿에서 제공하고, 인터셉터는 스프링 MVC가 제공하는 기술이다.

흐름을 보면 다음과 같다.

필터와 인터셉터 모두 스프링 controller가 실행되기 전후에 적용된다.

서블릿 필터

🔹 필터의 흐름

HTTP 요청 ➔ WAS ➔ 필터 ➔ 서블릿 ➔ 컨트롤러

필터는 특정 URL 패턴에 적용 가능 👉 /* 이라고 하면 모든 요청에 필터가 적용
디스패처 서블릿이 스프링의 가장 앞단에 존재하는 프론트 컨트롤러이므로 필터는 스프링 범위 밖에서 처리됨
- 스프링 범위 밖이더라도 bean 사용 가능..! ➔ 원래는 못 썼는데 버전업되면서 사용 가능하게 됨..

🔹 필터 체인

HTTP 요청 ➔ WAS ➔ 필터1 ➔ 필터2 ➔ 필터3 ➔ 서블릿 ➔ 컨트롤러

중간에 필터를 자유롭게 추가 가능
ex) 로그를 남기는 필터를 먼저 적용하고, 그 다음에 로그인 여부를 체크하는 필터 만듦

🔹 필터 인터페이스

public interface Filter {
    public default void init(FilterConfig filterConfig) throws ServletException {}

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException;

    public default void destroy() {}
}

필터 인터페이스를 구현하고 등록하면 서블릿 컨테이너가 필터를 싱글톤 객체로 생성하고 관리
init() : 필터 초기화 메서드 ➔ 서블릿 컨테이너가 생성될 때 호출
doFilter() : 고객의 요청이 올 때마다 해당 메서드 호출 ➔ 필터 로직 구현
- chain.doFilter()로 다음 필터 호출 ➔ 만약 없다면 서블릿 호출
destroy() : 필터 종료 메서드 ➔ 서블릿 컨테이너가 종료될 때 호출

스프링 인터셉터

✨ 서블릿 필터보다 편리하고 더 정교하며 다양한 기능 제공

🔹 스프링 인터셉터 흐름

HTTP 요청 ➔ WAS ➔ 필터 ➔ 서블릿 ➔ 스프링 인터셉터 ➔ 컨트롤러

디스패처 서블릿과 컨트롤러 사이에서 컨트롤러 호출 직전에 호출됨

🔹 스프링 인터셉터 체인

HTTP 요청 ➔ WAS ➔ 필터 ➔ 서블릿 ➔ 인터셉터1 ➔ 인터셉터2 ➔ 컨트롤러

🔹 스프링 인터셉터 인터페이스

public interface HandlerInterceptor {
	default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {

		return true;
	}

	default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			@Nullable ModelAndView modelAndView) throws Exception {
	}

	default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
			@Nullable Exception ex) throws Exception {
	}
}

doFilter 하나로 로직을 수행하는 서블릿 필터와 달리 스프링 인터셉터는 3개로 세분화되어있다.

preHandle() : 컨트롤러 호출 전 (핸들러 어댑터 호출 전)
postHandle() : 컨트롤러 호출 후 (핸들러 어댑터 호출 후)
afterCompletion() : 요청 완료 이후 ➔ 항상 호출됨

필터와 인터셉터 차이 정리 및 요약

XSS 공격, CORS 정책을 잘 따르면서 보냈는지 등을 먼저 필터에서 거르고 통과한 것들만 스프링에서 처리
비즈니스 로직 처리에 걸리는 시간을 앞 뒤로 측정 시 인터셉터 사용

참고자료

https://mangkyu.tistory.com/173

https://www.inflearn.com/course/%EC%8A%A4%ED%94%84%EB%A7%81-mvc-2

저작자표시