[Spring] newfeedproject_Trouble Shooting(auth)

1) 인증 객체 등록이 뒤섞임

원래 구현하려고 했던 의도

JwtAuthorizationFilter 의 목적은 

1. 요청의 Authorization 헤더에서 JWT 토큰을 꺼내온다.
2. 토큰이 만료되지 않고, 위조되지 않은지 확인한다.
3. 토큰 안에 들어있는 사용자 정보(이메일)를 꺼내서 DB에서 진짜 유저 정보를 가져온다.
4. 그 유저 정보를 기반으로 Spring Security 인증 객체를 만든다.
5. 만든 인증 객체를 SecurityContext에 넣어서, 이후 요청 처리 과정에서 "아~!~! 이 요청은 인증된 사용자 요청이구나" 하고 알 수 있게 한다.

즉, JWT 토큰으로 인증된 사용자임을 Spring Security에 알려주는 다리 역할

 

문제가 된 코드는 아래와 같다

@Override
protected void doFilterInternal(HttpServletRequest request,
                                HttpServletResponse response,
                                FilterChain filterChain)
        throws ServletException, IOException {
    // Authorization 헤더에서 Bearer 토큰을 추출
    String header = request.getHeader("Authorization");
    if (header != null && header.startsWith("Bearer ")) {
        String token = header.substring(7);  // "Bearer " 이후의 토큰 부분만 추출

        // 토큰 유효성 검사
        if (JwtUtil.validateToken(token) && !"refresh".equals(JwtUtil.getUserEmailFromToken(token))) {
            // JWT에서 이메일을 추출
            String email = JwtUtil.getUserEmailFromToken(token);

            // DB에서 사용자 정보를 로드
            UserDetails userDetails = userDetailsServiceImpl.loadUserByUsername(email);
            // UserDetails를 UserDetailsImpl로 캐스팅
            UserDetailsImpl userDetailsImpl = (UserDetailsImpl) userDetails;  

            // 인증 객체 생성
            Authentication auth = new UsernamePasswordAuthenticationToken(
            // 인증 객체 생성
                    userDetailsImpl, null, userDetailsImpl.getAuthorities()); 

            // 인증 정보를 SecurityContext에 설정
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
    }

    // 필터 체인에서 다음 필터로 넘어감
    filterChain.doFilter(request, response);
}

 

원인 분석

 

 

• 중복 로직 발생
  토큰 → 이메일 추출 → DB 조회 → 인증 객체 생성 과정이 필터 내부에서 직접 구현됨
  → 다른 필터/서비스에서 동일 과정이 필요하면 또 작성해야 함
• 유지보수 어려움
  인증 로직을 수정할 때 모든 필터 코드를 찾아서 수정해야 함
  → 버그 가능성 증가
• 코드 가독성 저하
  필터의 핵심 역할이 묻힘 (토큰 검증 + 인증 객체 등록이 뒤섞임)

 

    Spring Security Authentication 객체 생성(권한은 빈 리스트)
    public static Authentication getAuthentication(String token) {
        String email = getUserEmailFromToken(token);
        return new UsernamePasswordAuthenticationToken(email, null, List.of());
    }

해결된 점

 

• JwtUtil에 getAuthentication() 메서드를 추가
  → 토큰에서 이메일 추출 → DB 조회 → 인증 객체 생성까지 한 번에 처리

 

개선된 코드

• UserDetailsImpl.java

 @Override
    public String getUsername() {
        // 이메일을 로그인 식별자로 쓴다면
        return user.getUserName();
    }
// getEmail을 따로 생성함
    public String getEmail() {
        return user.getEmail();
    }

 

• JwtAuthorizationFilter.java

@Override
protected void doFilterInternal(HttpServletRequest request,
                                HttpServletResponse response,
                                FilterChain filterChain)
        throws ServletException, IOException {
    String header = request.getHeader("Authorization");
    if (header != null && header.startsWith("Bearer ")) {
        String token = header.substring(7);

        if (JwtUtil.validateToken(token) && !"refresh".equals(JwtUtil.getUserEmailFromToken(token))) {
            // 핵심 변경: 여기서 직접 인증 객체 안 만들고, JwtUtil 메서드로 대체
            Authentication auth = JwtUtil.getAuthentication(token, userDetailsServiceImpl);
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
    }
    filterChain.doFilter(request, response);
}

여기서 위 코드의

 if (JwtUtil.validateToken(token) && !"refresh".equals(JwtUtil.getUserEmailFromToken(token))) {

를 한 이유는 아래와 같다

public static String createAccessToken(Long userId, String email) {
    return JWT.create()
            .withSubject(email) // sub = 사용자 email
            .withClaim("userId", userId)
            .withExpiresAt(new Date(System.currentTimeMillis() + ACCESS_EXP))
            .sign(algorithm);
}

Access 토큰은 subject에 사용자의 이메일을 넣는

public static String createRefreshToken(Long userId) {
    return JWT.create()
            .withSubject("refresh") // sub = "refresh" (고정 문자열)
            .withClaim("userId", userId)
            .withExpiresAt(new Date(System.currentTimeMillis() + REFRESH_EXP))
            .sign(algorithm);
}

Refresh 토큰은 subject에 "refresh"라는 고정 문자열을 넣는다

 

즉, 리프레시 토큰은 재발급 용도지 로그인 인증인가에 쓰면 안되기 때문에, subject값이 "refresh"인 토큰(즉, 리프레시 토큰)은 필터에서 걸러버리는 거임

 

• JwtUtil.java

public static Authentication getAuthentication(String token, UserDetailsServiceImpl userDetailsServiceImpl) {
    // 1. 토큰에서 이메일 꺼내기
    String email = getUserEmailFromToken(token);
    
    // 2. 이메일로 DB에서 유저 정보 로드
    UserDetailsImpl userDetails = userDetailsServiceImpl.loadUserByUsername(email);
    
    // 3. 유저 정보 기반으로 인증 객체 생성
    //    - principal: userDetails (인증된 유저 정보)
    //    - credentials: null (비밀번호 필요 없음)
    //    - authorities: List.of() (현재 권한 없음)
    return new UsernamePasswordAuthenticationToken(userDetails, null, List.of());
}

 

 

• 전 코드
  • 필터 내부에서 매번 토큰 파싱 → 이메일 추출 → DB 조회 → 인증 객체 생성 → SecurityContextHolder 세팅 => 중복 + 장황
• 후 코드
  • 필터에서는 JwtUtil.getAuthentication() 한 줄로 인증 객체 생성
    → 필터가 더 읽기 쉽고, 다른 곳에서 재사용 가능
    → 유지보수 편함

 

한마디로 필터에서 인증 객체를 만드는 복잡한 과정을 없애고 

JwtUtil이 알아서 다 해주도록 수정함

 

 

---

2) 패스워드 변경 Spring Security 403 Forbidden

 

원래 구현하려고 했던 의도

목표로는 인증된 사용자만 특정 API(/api/myinfo/modify/password)접근 가능하게 설정
SecurityConfig에서 URL 권한 설정을 했음

 

JWT 인증필터를 통해 SecurityContext에 사용자 인증 객체를 세팅하는 구조

문제발생

인증토큰을 넣고 요청했음에도 HTTP 403 Forbidden응답
포스트맨에서는 응답 코드만 보이고 구체적인 원인을 알 수 없었음
콘솔 찍어봐도 JWT 토큰값이 찍히는데, 문제파악이 안되었음

 

 

원인분석

application.properties에 

logging.level.org.springframework.security=DEBUG

Spring Security 내부 처리 흐름이 콘솔에 상세히 출력됨
필터 체인 실행 순서, 인증/인가 판단과정 SecurityContext 상태 등 확인 가능

DEBUG o.s.s.w.FilterChainProxy  : Secured POST /api/myinfo/modify/password
DEBUG o.s.s.w.a.AnonymousAuthenticationFilter : Set SecurityContextHolder to anonymous
DEBUG o.s.s.w.a.Http403ForbiddenEntryPoint    : Pre-authenticated entry point called. Rejecting access

 

요청이 Security FilterChain에 의해 보안 검사를 거침
JwtAuthorizationFilter에서 인증이 세팅되지 않아 AnonymousAuthenticationToken으로 처리 됨
인가 단계에서 hasRole("USER")조건 불충족-> 403발생

 

해결방법 

 

인증 필터가 해당 요청을 스킵하고 있었음
SecurityConfig 또는 AuthorizationFilter에서 /api/myinfo/modify/password경로를 제외 목록에 잘못 포함했기 때문

• 필터 스킵조건에서 해당경로 제거

if ("POST".equalsIgnoreCase(request.getMethod())
    && "/api/auth/signin".equals(request.getRequestURI())) {
    filterChain.doFilter(request, response);
    return;
}

•  SecurityConfig에 권한 설정 변경

.requestMatchers("/api/myinfo/modify/password").hasRole("USER")

Spring Security문제는 로그 없이 원인 파악이 어렵다
logging.level.org.springframework.security=DEBUG는 필수 디버깅 도구
필터 스킵 조건은 최소한으로 유지해야 하며 인증이 필요한 경로는 반드시 SecurityContext에 인증 객체가 들어가야 함

 

 

---

3) 로그아웃 403

 

원래 구현하려고 했던 의도

 

원래 의도는 /api/auth/signout 엔드포인트에서 로그인된 사용자만 로그아웃 가능하게 하고 있었다.
AccessToken을 Authorization 헤더에 담아 요청을 보냄 JWT 필터에서 인증 세팅 hasRole("USER")조건 통과후 로그아웃 처리

 

 

문제 발생

 

로그아웃 요청 시 서버 응답

{
    "timestamp": "2025-08-12T01:12:27.515+00:00",
    "status": 403,
    "error": "Forbidden",
    "message": "Forbidden",
    "path": "/api/auth/signout"
}

 

 

디버그 로그
[JWT] Authorization header = Bearer ...
AnonymousAuthenticationFilter : Set SecurityContextHolder to anonymous SecurityContext
Http403ForbiddenEntryPoint     : Pre-authenticated entry point called. Rejecting access

토큰이 있는데도 SecurityContext가 anonymous로 세팅되고 hasRole("USER")검사에서 403발생

 

 

원인 분석

JWT인증 필터에서 /api/auth/signout요청을 스킵하도록 조건이 설정되어 있었음

 

if ("POST".equalsIgnoreCase(request.getMethod())
    && ("/api/auth/signin".equals(request.getRequestURI())
    || "/api/auth/signout".equals(request.getRequestURI()))) {
    filterChain.doFilter(request, response);
    return;
}

 

이 조건 때문에 /api/auth/signout 요청은 JWT 인증절차를 거치지 않음
SecurityContext비어있음
SecurityContext가 비어 있으면 Spring Security는 AnonymousAuthenticationFilter로 anonymous를 세팅함
이후 hasRole("USER")검사에서 실패 -> 403 Forbidden 발생

 

해결 방법

로그아웃에 인증 요구
필터 스킵 조건에서 /api/auth/signout제거하고 JWT 필터가 인증 세팅을 하도록 변경

if ("POST".equalsIgnoreCase(request.getMethod())
    && "/api/auth/signin".equals(request.getRequestURI())) {
    filterChain.doFilter(request, response);
    return;
}

 

이렇게 하면 토큰이 유효할 경우 SecurityContext에 인증 정보가 세팅되고 hasRole("USER") 통과

 

---