[로그인 및 인가] Interceptor에서 ArgumentResolver로 리팩토링하기

[서론]

에어비앤비 클론 프로젝트를 진행하며, 로그인 회원만 '숙소 등록' 과 '숙소 예약' 을 할 수 있기 위해(인가를 주기 위해) 로그인한 회원을 대상으로 세션을 사용해서 stateful 하게 구현 했습니다.

@PostMapping("/login")
    public ApiResponse<Void> login(@RequestBody @Valid MemberLoginRequest request,
                                   HttpSession httpSession) {
        memberService.login(request.toServiceRequest());   // 로그인에 성공하면
        httpSession.setAttribute(LOGIN_MEMBER, true);      // 세션 부여
        return ApiResponse.ok();
    }

 

그리고, DispatcherServlet 이 HandlerAdapter(핸들러 어댑터) 를 호출하기 전에 Interceptor 의 preHandle 을 먼저 호출하도록 해서, preHandle 내부에서 로그인용 세션이 있는지 체크하였습니다.

public class LoginCheckInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        HttpSession session = request.getSession(false);
        if (session == null) {
            response.setStatus(400);
            return false;
        }

        Object loginMember = session.getAttribute(LOGIN_MEMBER);
        return loginMember != null;
    }
}

 

[ArgumentResolver 로 리팩토링 한 이유]

1. Interceptor 로는 Restful API 를 식별하지 못하기 때문입니다.

예를 들어, 특정 숙소의 정보를 확인하는 GET /stay/{stayId} 는 로그인이 필요하지 않습니다.

하지만, 특정 숙소를 삭제하는 DELETE /stay/{stayId} 는 로그인이 필요합니다.

이에 대해 Interceptor 를 등록할 때, addPathPatterns() 로는 표현할 수 없습니다.

 

물론, preHandle 안에서 request method 를 확인해서 할 수는 있겠지만, 더 복잡해질것이라고 판단했습니다.

 

2. Controller 의 정보만으로 해당 API 가 로그인이 필요한 요청인지 알 수 없기 때문입니다.

해당 API 가 로그인이 필요한 API 인지 숨겨져 있다고 판단해서, 이를 코드상으로 명확히 드러내고 싶었습니다.

 

[결과]

HandlerAdapter 가 ArgumentResolver 를 호출해서 컨트롤러 메서드 파라미터에 값이 만들어 줄 수 있도록 하였습니다.

• custom 어노테이션 → (1) @Login
• HandlerMethodArgumentResolver 를 Override 하여 ArgumentResolver 가 작동하는 조건 설정 → (2) LoginArgumentResolver
• 조건 설정한 ArgumentResolver 를 등록 → (3) addArgumentResolvers(...)

(1) @Login

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface Login {
}

 

(2) LoginArgumentResolver

public class LoginArgumentResolver implements HandlerMethodArgumentResolver {

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        boolean hasLoginAnnotation = parameter.hasParameterAnnotation(Login.class);
        boolean hasMemberId = Long.class.isAssignableFrom(parameter.getParameterType());

        return hasLoginAnnotation && hasMemberId;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        HttpServletRequest request = (HttpServletRequest) webRequest.getNativeRequest();
        HttpSession session = request.getSession(false);
        if (session == null) {
            throw new BusinessException(ErrorCode.NOT_LOGIN);
        }

        return session.getAttribute(SessionConst.LOGIN_MEMBER);
    }
}

 

 (3) addArgumentResolvers(...)

@Configuration
public class WebConfig implements WebMvcConfigurer {

    (...중략)
    
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
        resolvers.add(new LoginArgumentResolver());
    }
}

 

 

로그인 여부가 필요한 API 에서 Session 을 확인하는 중복 로직을 제거하고, 코드의 명확성을 높일 수 있었습니다. 

@PostMapping("/reservation")
public ApiResponse<ReservationResponse> reserve(
        @Login Long userId,
        @RequestBody @Valid ReservationAddRequest request) {
    ReservationResponse response = reservationService.reserve(request.toServiceRequest(userId));
    return ApiResponse.ok(response);
}