[Spring Security] 경로에 @PathVariable 을 포함하는 API 를 인증 없이도 호출하도록 설정하기

📃 Introduction
프로젝트에서 스프링 시큐리티를 적용해 기본적으로 모든 API 경로는 인증 절차를 거치게 하고, 회원가입과 로그인을 포함한 몇몇 API 는 인증이 없이 호출이 가능하도록 변경해야 했다. 모든 API 가 인증 절차를 거치게 하는 것은 어렵지 않았으나, 몇 개의 API 가 인증이 없이도 호출되도록 변경하는 것이 까다로웠다.

🚩 현재 상황

아래는 현재 보안 필터 체인의 구성이다. 각각 회원가입과 로그인을 나타내는
POST /api/v1/user/join 과 POST /api/v1/users/login 을 antMatchers 의 permitAll() 메서드를 활용해서 인증 절차가 필요하지 않게 설정해주었다.

문제는 GET api/v1/posts/** 또한 인증 없이 호출되게 설정했다는 점에서 발생했다.

이유는 아래와 같았다:

• 현재 설정대로면 경로가 api/v1/posts/ 로 시작하는 모든 GET 방식의 API 는 인증 절차 없이 호출된다.
• 그런데, 현 시점에서 추가할 API 는 로그인 한 사용자가 자신이 작성한 포스트를 모아서 볼 수 있는 API인
  GET api/v1/posts/my 이다.
• 그러므로, GET 방식의 api/v1/posts/ 로 시작하는 경로의 API 임에도 불구하고 인증 절차를 거치도록 따로 설정해 주어야 한다.

즉, 현재 상황에서 GET api/v1/posts/my 는 인증 없이도 Authentication 객체에 대한 접근이 허용되어 있었다.

Authentication 객체를 매개변수로 받는다.

인증이 되지 않은 상황에서 Authentication 객체의 값은 null 이다. 그러므로 접근이 허용되어 있으면, 인증이 되지 않았을 때 authentication.getName() 에서 NullPointerException 이 발생한다. 현재 프로젝트에서는 인증이 되지 않았을 때 커스텀 에러인 INVALID\_PERMISSION 에러를 반환해야 했고, 이는 로그인 없이는 접근 자체를 허용하지 않아야 로그인 하지 않은 상황에 대해 반환될 수 있는 에러이다.

Swagger 에서 /api/v1/posts/my 를 호출하면 에러 코드 500을 반환한다.

NullPointerException 이 발생하기 때문이다.

🔑 해결

 

그래서, 우선 현재 /api/v1/posts/** 의 패턴과 일치하는 모든 GET API 경로를 허용하는 방식을 api/v1/posts/my 를 제외한 특정 API 경로만 허용하도록 변경하고자 했다. 변경 방법은 어렵지 않았다. 단순히 antMatchers() 내부에서 쉼표(,) 를 사용해 프리패스를 허용할 API 경로들을 명시해주면 되었다.

.antMatchers(HttpMethod.GET, "/api/v1/posts", "/api/v1/posts/{postId}",
            "/api/v1/posts/{postId}/comments").permitAll()

하지만, Swagger 를 사용해 GET API 들을 호출해보니, 변함 없이 에러가 발생했다. 위 코드로는 GET api/v1/posts/my 에 대해서도 인증 절차 없이 호출이 가능하다는 의미였다. 찜찜했던 부분이 {postId} 로 API 경로의 @PathVariable 를 지정하는 부분이어서 @PathVariable 이 있는 경로를 antMatchers 에서 명시할 때 사용하는 올바른 방법이 무엇인지 검색해보았다:

stackoverflow 에서 답을 찾을 수 있었다. @PathVariable 들에 대해서는 {변수명:<데이터 형에 따른 정규식>} 형태로 명시해주어야 한다는 사실을 알게 되었고, 바로 적용해보았다:

.antMatchers(HttpMethod.GET, "/api/v1/posts", "/api/v1/posts/{postId:\\d+}",
            "/api/v1/posts/{postId:\\d+}/comments").permitAll()

postId 는 정수형 변수였기 때문에 정규식 \\d+ 를 사용했다.

스프링 공식 문서에 버젓이 @PathVariable 에 대한 antMatchers 의 사용법에 대해 명시되어 있다.

다시 프로젝트를 실행하자, 문제 없이 로그인 하지 않은 경우에 GET api/v1/posts/my 는 의도한 INVALID_PERMISSION 에러를 냈고, 나머지 GET API 들은 로그인 없이도 호출이 가능한 것을 확인할 수 있었다!

 

로그인 하지 않으면 모든 GET API 중 api/v1/posts/my 만 에러를 낸다.

 

📌 출처

https://stackoverflow.com/questions/55863235/how-to-apply-spring-security-antmatchers-pattern-only-to-url-with-pathvariable

How to apply Spring Security AntMatchers pattern only to url with pathVariable

https://docs.spring.io/spring-framework/docs/current/javadoc-api/org/springframework/util/AntPathMatcher.html

AntPathMatcher (Spring Framework 6.0.3 API)