WebSecurity ignoring()에 대한 오해와 미적용 문제 해결 방법

😬 배경

회사 프로젝트에서 특정 요청을 필터에서 제외해야 하는 경우가 있었다. 필자는 스프링 시큐리티 WebSecurity ignoring() 메서드에 특정 패턴이 보안(필터링)에 걸리지 않도록 추가했다. 하지만 이전에 등록한 필터에 계속해서 걸리게 되었고, 관련 원인을 파악하고 해당 케이스를 어떻게 해결할지 고민한 내용에 대해서 작성해 본다.

WebSecurity ignoring() 기능이란?

스프링 시큐리티에서는 애플리케이션에 구성한 보안적 요소(필터, 패턴, 권한 등)를 무시할 수 있도록 WebSecurity의 ignoring() 기능을 제공한다.

 

해당 기능에 등록된 패턴들은 보안적 요소를 거치지 않고 바로 통과한다. 따라서 인증/인가가 필요하지 않은 정적 리소스에 대한 요청은 해당 기능 활용한다. (동적 리소스 요청은 스프링 시큐리티에서 permitAll()을 권장한다.)

- SecurityConfig

@Configuration
@RequiredArgsConstructor
public class SecurityConfig{

    private final ShibaHolicFilter shibaHolicFilter;

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return (web) -> web.ignoring().antMatchers("/shibaHolic");
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.addFilterBefore(shibaHolicFilter, UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                .anyRequest()
                .authenticated();
        return http.build();
    }
}

- Controller

@RestController
public class ShibaHolicController {

    @GetMapping("/shibaHolic")
    public String getShibaHolic() {
        return "흑시바";
    }
}

- Filter

@Component
public class ShibaHolicFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        System.out.println("필터 걸림");
        filterChain.doFilter(request, response);
    }
}

 

SecurityConfig에 ShibaHolicFilter를 등록하고, 다른 요청에 대해서는 반드시 인증하도록 설정한다.

그리고 WebSecurity ignoring() 패턴에는 /shibaHolic을 등록한다.

 

이렇게 설정하고 GET 메서드로 /shibaHolic을 호출하면,

인증 없이 통과되고 결과를 반환하지만, 이미지와 같이 ShibaHolic 필터를 거쳐서 넘어가게 된다는 걸 확인할 수 있다.

🔎 원인

스프링 시큐리티 필터에는 걸리지 않았지만, 문제는 ServletFilter에서 걸린다는 것이다.

스프링 공식문서에는 "Bean으로 등록된 필터는 자동으로 ServletFilterChain에 등록된다"라고 한다.

따라서 Filter를 Bean으로 등록하면서 자동으로 ServletFilterChain에 필터가 등록되고,

SecurityFilterChain에는 addFilterBefore() 메서드로 인해 필터가 또 등록되면서 총 2번 등록된다.

 

ApplicationFilterChain을 디버깅하면 이미지의 3, 4와 같이, SecurityFilterChain과 ShibaHolicFilter 둘 다 등록되어 있는 것을 확인할 수 있다.

📕 해결

해결 방법은 여러 방법이 있으므로, 상황에 따라 맞는 방식을 사용하면 될 것 같다.

1. 필터를 Bean으로 등록하지 않는다.

가장 간단한 방법이다. 필터를 Bean으로 등록하지 않고 Security 설정에 생성자로 등록한다면, 필터가 2개 등록되는 일을 피할 수 있다. 필자는 개인적으로 의존성 주입이 필요 없는 단순한 필터라면 해당 방법을 추천한다.

- SecurityConfig

@Configuration
@RequiredArgsConstructor
public class SecurityConfig {

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return (web) -> web.ignoring().antMatchers("/shibaHolic");
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.addFilterBefore(new ShibaHolicFilter(), UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                .anyRequest()
                .authenticated();
        return http.build();
    }
}

- Filter

public class ShibaHolicFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        System.out.println("필터 걸림");
        filterChain.doFilter(request, response);
    }
}

 

ShibaHolicFilter를 의존성 주입받지 않고, 인스턴스화해서 등록한다.

이러면 Bean으로 등록되지 않기 때문에, Servlet Filter에 추가될 일이 없다.

 

디버깅을 통해 확인해 보면 더 이상 ShibaHolicFilter가 등록되지 않는다는 것을 확인 할 수 있다.

2. 필터를 Servlet Filter로 등록되지 않도록 한다.

스프링이 Bean으로 등록된 필터를 자동으로 등록하는 설정을 끄면, 필터를 Bean으로 등록해도 더이상 Servlet Filter로 등록되지 않는다.

@Configuration
public class WebConfig {

    @Bean
    public FilterRegistrationBean<ShibaHolicFilter> registration(ShibaHolicFilter filter) {
        FilterRegistrationBean<ShibaHolicFilter> registration = new FilterRegistrationBean<>(filter);
        registration.setEnabled(false);
        return registration;
    }
}

 

FilterRegistrationBean setEnabled 옵션을 끄면, 더이상 Servlet Filter에 해당 필터가 추가되지 않는다.

3. shouldNotFilter()를 활용하여 특정 패턴에서만 해당 필터가 적용되도록 설정한다.

OncePerRequestFilter는 shouldNotFilter()를 오버라이드 하여 특정 패턴에만 필터를 적용시키거나 제외시킬 수 있도록 하는 메서드를 제공한다. 특정 패턴의 경우만 해당 필터를 거치게 한다면, 필터 등록 여부와 상관없이 무시할 수 있다.

 

@Component
public class ShibaHolicFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        System.out.println("필터 걸림");
        filterChain.doFilter(request, response);
    }

    @Override
    protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {
        return !request.getServletPath().equals("/blackshiba") || !request.getMethod().equals("GET");
    }
}

 

GET 메서드에 /blackshiba으로 오는 경우만 해당 필터를 적용하도록 하면서, /shibaHolic인 경우 해당 필터를 거치지 않도록 하였다.