[스프링 시큐리티 기본 API & Filter 이해] Logout & 필터

📍 이 글은 인프런 인터넷 강의 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security 에서 기반된 것으로 여기서 인용되는 PPT 이미지 또한 모두 해당 강의에서 가져왔음을 알립니다.

 

🔹 Logout 동작 방식

• 사용자가 로그아웃 요청을 한다.
• Spring Security가 로그아웃에 대해 필요한 작업을 수행한다.
  • 세션 무효화
  • 인증토큰 삭제
  • 인증토큰을 갖고 있던 SecurityContext 삭제
  • 쿠키 정보 삭제
  • 로그인 페이지로 리다이렉트
• 위 과정뿐 아니라 개발자가 원하는 대로 커스텀하여 로그아웃 작업을 추가할 수도 있다.

 

🔹 Logout API

Form Logout 사용은 src > main > java > io > security > basicsecurity > SecurityConfig 작성한다.

사용은 http.formLogout()를 추가하게 된다면 로그아웃 기능이 작동하며, api들은 다음과 같다.

public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	http.logout() // 로그아웃 기능 적용
		.logoutUrl("/logout") // 로그아웃 처리 URL
		.logoutSuccessUrl("/login") // 로그아웃 성공 후 이동페이지
		.deleteCookies("JSESSIONID", "remember-me") // 로그아웃 후 쿠키 삭제
		.addLogoutHandler(logoutHandler()) // 로그아웃 핸들러
		.logoutSuccessHandler(logoutSuccessHandler()) // 로그아웃 성공 후 핸들러
}

 

💡 사용예시

// import 생략

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    	http
    		.logout()
    		.logoutUrl("/logout")
    		// .logoutSuccessUrl("/login") // logoutSuccessHandler 대체
    		.addLogoutHandler(new LogoutHandler() {
    			@Override
    			public void logout(HttpServletRequest request, 
    			HttpServletResponse response, Authentication authentication) {
    				HttpSession session = request.getSession();
    				session.invalidate();
    				// 세션 무효화, 직접 하지 않아도 LogoutFilter가 내부적으로 함
    			}
    		})
    		.logoutSuccessHandler(new LogoutSuccessHandler() {
    			@Override
    			public void onLogoutSuccess(HttpServletRequest request, 
    			HttpServletResponse response, Authentication authentication) 
    			throws IOException, ServletException {
    				response.sendRedirect("/login");
    			}
    		})
    		.deleteCookies("remember-me"); // 로그아웃 후 삭제할 쿠키 지정
    	return http.build();
    }
}

• Logout 기능을 활성화하면 LogoutFilter가 생긴다.
• 해당 필터 내부에는 이미 아래와 같은 로그아웃 핸들러가 존재한다.
  • 세션 무효화 핸들러
  • 인증 토큰, SecurityContext 삭제 핸들러
  • 쿠키 정보 삭제 핸들러
• 기본 로그아웃 핸들러 외에도 사용자가 직접 핸들러를 등록하고 싶다면 addLogoutHandler를 사용한다.
• 참고로 스프링 시큐리티의 기본적인 로그아웃 처리는 post 방식이다.

 

 

---

 

🔹 LogoutFilter

로그아웃을 하기 위해서는 Logout Request를 받았을 때, Server의 세션을 무효화하고, 쿠키 정보, 인증 토큰과 인증 토큰이 저장된 Security Context의 객체를 삭제해줘야 한다.

 

🔹 LogoutFilter 동작 방식

• logoutUrl 메서드로 지정했던 Url로 온 올바른 요청인지 확인한다.
• 지정했던 Url로 들어온 요청이 맞다면, SecurityContext에서 인증 객체를 꺼낸다.
• 꺼낸 인증 객체를 SecurityContextLogoutHandler로 전달한다.
  • 이후, 핸들러를 사용해서 세션 무효화, 쿠키 삭제, SecurityContext 삭제를 수행한다.
• 로그아웃이 끝나면 SimpleUrlLogoutSuccessHandler 호출하여 로그인 페이지로 이동한다.

 

 

 

 

 

📃 reference

• 인프런 : 스트링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security
• https://velog.io/@dailylifecoding/spring-security-logout-feature
• https://velog.io/@seongwon97/Spring-Security-Logout-Filter