🌀 Spring Security 관련 예외 처리

레이어 단위로 모듈화해본 프로젝트에서 이전에 만들어봤던 글로벌 응답처리 관련 코드를 적용했는데, 새로운 문제를 발견했다.

common 모듈에 응답처리 코드를 몰아넣었는데, 의존성 import 문제 때문에 security에서 잡아줄 클래스(BadCredentialsException)가 인식이 안되는 문제였다.

생각해보니 GlobalExceptionHandler는 @RestControllerAdvice 를 사용해서 발생 익셉션을 캐치해주는데 시큐리티 발생 에러는 필터 단에서 잡히기 때문에 @ExceptionHandler에는 안잡히는게 맞지 않는가 하는 생각이 번뜩였다.

알아보자

🐙 문제

• Spring Security에서 발생하는 예외들
  • BadCredentialsException, UsernameNotFoundException, AccessDeniedException 등
  • 얘내는 module-common의 GlobalExceptionHandler에서 안잡히는데, 처리하려면 어떻게 해야 하지?

🔍 왜 이런 일이?

 요청
   ↓
[Security Filter Chain]  // 여기서 시큐리티 예외 발생 (BadCredentialsException 같은 애들)
   ↓
DispatcherServlet
   ↓
Controller
   ↓
@ExceptionHandler or @ControllerAdvice

서블릿 디스패처보다 앞단에 위치한 필터에 의해 @ExceptionHandler or @ControllerAdvice에 도달하지 않는다.

✅ 요약

@Controller 내부에서 발생하는 예외는 @RestControllerAdvice 에 의해 잡히지만,

BadCredentialsException, UsernameNotFoundException, AccessDeniedException 이런 애들은 Spring Security Filter 안에서 발생하기 때문에 예외가 터진 시점에 컨트롤러가 아직 호출되기 전이니 @ExceptionHandler로 못잡는다

🧙🏻‍♂️ 접근 아이디어

Spring Security 관련 예외 특별히 커스텀해서 처리하면

커스텀한 핸들러들을 securityConfig 에 등록해서, 필터에서 걸릴 때 원하는 형식으로 잡아줘볼 수 있겠다는 아이디어

단, 얘내는 특별히 회원 도메인이 존재하는 module-api 쪽에 배치