[bug/JWT] 없는 회원 email을 가진 JWT token 기반으로 요청을 보내는 경우 Error Handling

[rnjstjdgh]

문제 상황

• 없는 회원에 대한 JWT Token
  • 회원 가입 후 로그인 해서 token을 얻고 그 회원을 삭제해서 만든 토큰
• 해당 토큰을 통해 요청하게 되면 예상치 못한 Error 발생
  • 별도의 처리 로직 없음
• 예시

  <!doctype html><html lang="en"><head><title>HTTP Status 500 – Internal Server Error</title><style type="text/css">body {font-family:Tahoma,Arial,sans-serif;} h1, h2, h3, b {color:white;background-color:#525D76;} h1 {font-size:22px;} h2 {font-size:16px;} h3 {font-size:14px;} p {font-size:12px;} a {color:black;} .line {height:1px;background-color:#525D76;border:none;}</style></head><body><h1>HTTP Status 500 – Internal Server Error</h1></body></html>

원인 분석

• 토큰 검증 과정에 다음과 같은 코드가 실행됨

  // Jwt 토큰으로 인증 정보를 조회
  @Transactional
  public Authentication getAuthentication(String token) {
      UserDetails userDetails = userDetailsService.loadUserByUsername(this.getUserPk(token));
      return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities());
  }

• loadUserByUsername 메소드의 결과 없는 회원일 경우 exception을 throw 한다.

  public UserDetails loadUserByUsername(String email) {
      Optional<UserEntity> userEntityOp = userRepository.findByEmail(email);
      UserEntity userEntity = ExceptionUtils.ifNullThrowElseReturnVal(userEntityOp);
      return convertEntityToDto(userEntity);
  }

  
  public static <T> T ifNullThrowElseReturnVal(Optional<T> optionalT){
      return optionalT.orElseThrow(()->{
          return new LogicalRuntimeException(CommonError.INVALID_DATA);
      });
  }

• loadUserByUsername 메소드에서 던지는 명시적인 예외와 Spring security에서 별도로 처리하는 오류 로직이 안맞아서 예상하지 못한 형태로 동작하는 것 같음

[rnjstjdgh]

기대하는 동작

• 유효하지 않은[없는 사용자에 대한 사용자 토큰] 사용자 토큰으로 요청했다고 명시적으로 응답하기

[rnjstjdgh]

테스트 시 주의사항

• 처음에는 없는 사용자 토큰 요청하면 오류 나다가 나중에 갑자기 검증 잘 되는것 처럼 보인다.
• 이건 토큰 유효시간 때문임
  • 유효시간 다 지나서 그 검증에서 걸리는 것이지 없는 사용자에서 걸리는 것이 아니다.

[rnjstjdgh]

해결을 위한 추론

1. 토큰이 없을때 -> AuthenticationEntryPoint

@Slf4j
@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException ex) throws IOException,
            ServletException {
        response.setStatus(HttpServletResponse.SC_SEE_OTHER);
        response.setHeader("Location","/JWTException/EmptyJWTToken");
    }
}

• 재정의 메소드를 보면 파라미터에 AuthenticationException 가 넘어옴
• 즉, 필터를 통한 JWT 검증 과정에서 AuthenticationException 예외 발생 시 해당 핸들러로 넘어오는 것으로 추론 가능하다.

2. 권한 없는 토큰일 때 -> AccessDeniedHandler

@Slf4j
@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException exception) throws IOException,
            ServletException {
        response.setStatus(HttpServletResponse.SC_SEE_OTHER);
        response.setHeader("Location","/JWTException/accessdenied");
    }
}

• 재정의 메소드를 보면 파라미터에 AccessDeniedException 가 넘어옴
• 즉, 필터를 통한 JWT 검증 과정에서 AccessDeniedException 예외 발생 시 해당 핸들러로 넘어오는 것으로 추론 가능하다.

이 추론은 실패...

    public UserDetails loadUserByUsername(String email) {
        Optional<UserEntity> userEntityOp = userRepository.findByEmail(email);
        if(!userEntityOp.isPresent()){
            log.error("There is no user for the token. email : {}", email);
            throw new AccessDeniedException("There is no user for the token.");
        }
        return convertEntityToDto(userEntityOp.get());
    }

• 이렇게 명시적으로 AccessDeniedException()을 던졌는데도 핸들러로 안들어 온다

[rnjstjdgh]

해결을 위한 추론 2

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws IOException, ServletException {
        String token = jwtTokenProvider.resolveToken((HttpServletRequest) request);
        if (token != null && jwtTokenProvider.validateToken(token)) {
            Authentication auth = jwtTokenProvider.getAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        filterChain.doFilter(request, response);
    }

1. auth 필드에 적절한 권한이 컨텍스트에 할당이 안되면 AccessDeniedHandler

2. auth 필드 자체가 할당이 안되면 AuthenticationEntryPoint

이 추론이 맞았습니다!

[rnjstjdgh]

해결 방법

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws IOException, ServletException {
        String token = jwtTokenProvider.resolveToken((HttpServletRequest) request);
        if (token != null && jwtTokenProvider.validateToken(token)) {
            try{
                Authentication auth = jwtTokenProvider.getAuthentication(token);
                SecurityContextHolder.getContext().setAuthentication(auth);
            }catch (LogicalRuntimeException ex){
                filterChain.doFilter(request, response);
                return;
            }
        }
        filterChain.doFilter(request, response);
    }

• jwtTokenProvider.getAuthentication(token); 에서 token까서 해당 아이디에 대한 회원이 없으면 명시적으로 예외를 던지게 했고 예외 발생 시 auth를 컨택스트에 담지 않고 filterChain.doFilter(request, response);를 호출하게 함
  • 이렇게 하니 AuthenticationEntryPoint 핸들러로 빠진다.

[rnjstjdgh]

결론

JwtAuthenticationFilter -> doFilter 에서

1. 정상 동작 CASE
   • SecurityContextHolder 컨택스트에 정상 적으로 auth 가 바인딩 된 경우
2. AccessDeniedHandler CASE
   • SecurityContextHolder 컨택스트에 auth 가 바인딩 되었으나 Role이 부적절한 경우
3. AuthenticationEntryPoint CASE
   • SecurityContextHolder 컨택스트에 auth 가 바인딩 안된 경우