[Spring] AOP로 권한 처리하기

📑 개요

이번에 진행하는 프로젝트의 경우,

많은 API에서 요청으로 들어온 travel id에 대한 정보가 존재하는지, 해당 travel id에 대한 접근 권한이 있는지에 대한 예외 처리가 필요하다.

예외 처리에 대한 코드 중복을 줄이기 위해 애노테이션을 만들어 처리하려고 한다.

 

📑 Custom Annotation 생성

먼저, 권한 검사를 적용할 메소드에 사용할 커스텀 애노테이션을 만든다.

package withbeetravel.security;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * Travel에 대한 권한 검사를 적용할 메소드에 사용
 */

@Target(ElementType.METHOD) // 메소드단에서 사용
@Retention(RetentionPolicy.RUNTIME) // 런타임 시점에 유지
public @interface CheckTravelAccess {

    // 해당 애노테이션을 사용한 메소드에서 가져올 파라미터 이름
    String travelIdParam() default "travelId";
}

 

📑 AOP Aspect 클래스 생성

AOP를 통해 메소드 실행 전에 권한을 검증하는 Aspect 클래스를 작성한다.

package withbeetravel.security;

import lombok.RequiredArgsConstructor;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import withbeetravel.domain.Travel;
import withbeetravel.exception.CustomException;
import withbeetravel.exception.error.TravelErrorCode;
import withbeetravel.repository.TravelMemberRepository;
import withbeetravel.repository.TravelRepository;

/**
 * 메소드 실행 전 Travel에 대한 권한 검증
 */

@Aspect
@Component
@RequiredArgsConstructor
public class TravelAccessAspect {

    private final TravelRepository travelRepository;
    private final TravelMemberRepository travelMemberRepository;

    @Before("@annotation(checkTravelAccess)") // @CheckTravelAccess가 붙은 메소드 실행 전에 실행
    public void checkAccess(JoinPoint joinPoint, CheckTravelAccess checkTravelAccess) {

        // 로그인된 회원 id
        Long userId = 3L;

        // @CheckTravelAccess를 붙인 메소드의 파라미터에서 travelId 추출
        Long travelId = getTravelIdFromArgs(joinPoint, checkTravelAccess.travelIdParam());

        // travelId에 해당하는 travel이 있는지 확인(없다면 예외 던지기)
        travelRepository.findById(travelId)
                .orElseThrow(() -> new CustomException(TravelErrorCode.TRAVEL_NOT_FOUND));

        // 권한 검사
        travelMemberRepository.findByTravel_IdAndUser_Id(travelId, userId)
                .orElseThrow(() -> new CustomException(TravelErrorCode.TRAVEL_ACCESS_FORBIDDEN));
    }

    private Long getTravelIdFromArgs(JoinPoint joinPoint, String travelIdParam) {

        // 메소드 파라미터와 이름을 매핑하여 travelId를 찾아 반환
        var paramNames = ((MethodSignature)joinPoint.getSignature()).getParameterNames();
        var args = joinPoint.getArgs();

        for (int i = 0; i < paramNames.length; i++) {
            if(paramNames[i].equals(travelIdParam) && args[i] instanceof Long) {
                return (Long) args[i];
            }
        }

        // @CheckTravelAccess를 붙인 메서드에서 "travelId"라는 파라미터를 찾지 못한 경우
        throw new IllegalArgumentException("travelId 파라미터를 찾을 수 없습니다.");
    }
}

아직, 인증/인가 기능을 구현하지 않아서

30번 라인의 userId를 더미 데이터로 넣어놨다.

 

인증/인가 구현이 완료되어 있는 상태라면,

userId에 로그인된 사용자의 userId로 넣어주면 된다.

 

📑 Annotation 적용

이제 권한 검사가 필요한 메소드에 @CheckTravelAccess 애노테이션을 추가하여 검사를 수행하도록 설정한다.

@RequiredArgsConstructor
@RestController
@RequestMapping("/api/travels/{travelId}/payments")
public class SharedPaymentController implements SharedPaymentControllerDocs {

    @Override
    @CheckTravelAccess
    @PatchMapping(value = "/{sharedPaymentId}/records", consumes = "multipart/form-data")
    public ResponseEntity<String> addAndUpdatePaymentRecord(
            @PathVariable Long travelId,
            @PathVariable Long sharedPaymentId,
            @RequestPart(value = "paymentImage") MultipartFile paymentImage,
            @RequestParam(value = "paymentComment", required = false) String paymentComment,
            @RequestParam(value = "isMainImage", defaultValue = "false") boolean isMainImage
    ) {

        ...
    }
}

 

@CheckTravelAccess를 사용한 메서드에서 travel id를 가지고 있는 파라미터명이 travelId가 아니라 다른 이름이라면 다음과 같이 작성해주면 된다.

public class SharedPaymentController implements SharedPaymentControllerDocs {

    ...
    @CheckTravelAccess(travelIdParam = "id") // id라는 파라미터를 travelIdParam으로 사용하겠다.
    public ResponseEntity<String> addAndUpdatePaymentRecord(
            @PathVariable Long id, // travel id로 사용할 파라미터 명이 id임
			...
    ) {

        ...
    }
}