[Bug] UserDetails가 null인 경우 발생하는 오류 수정 요청

[Duskafka]

🐞 버그 리포트

😕 버그 설명

• @AuthenticationPrincipal애노테이션으로 받아온 UserDetails객체가 null일 수 있음.
• 하지만 null인 상태로 비즈니스 로직에 들어가면 NullPointException등 오류를 일으킴.
• 만약 null이 받아와졌다면 403 상태코드를 반환하는 처리가 필요함.

♾️ 재현 방법

StudentApiController에 로그인 후 요청을 보낼 때 토큰 정보를 담지 않고 보내면 됨.

🤔 기대한 동작

• 성공: UserDetails에서 username 필드를 가져와 비즈니스 로직에서 사용.

⚠️ 실제 동작

• UserDetails가 null이라서 username필드를 가져올 수 없음. 따라서 null값이 비즈니스 로직에 들어감.
• NullPointException이 발생함.

[github-actions]

🌱 브랜치 fix/9가 생성되었습니다. 이슈: [Bug] UserDetails가 null인 경우 발생하는 오류 수정 요청

[SONGYOOCHAN]

먼저 스프링 시큐리티는 보안 기능을 추가하기 위한 프레임워크 입니다.
주로 인증과 권한 부여의 역할을 하며, 사용자 로그인 권한 검사 등을 처리 하는 역할을 합니다.

SecurityFilterChain은 보안필터의 역할을 하며, 사용자의 요청을 처리하기 전에 한번 걸러주는(보안검사) 작업을 수행합니다.
특히 오류가 발생하였던 부분인 @AuthenticationPrincipal 애노테이션은 현재 인증된 사용자의 정보를 가져오는데 사용됩니다. 그리고 작동 방식에 따라서 UserDetails 객체는 자동으로 주입됩니다. 첫번째 문제 설명줄에 나온것처럼 UserDetails는 사용자가 인증되지 않은 상태이거나, 인증 정보가 세션이나 토큰에 포함되지 않거나, JWT 토큰이 없거나 잘못된 경우 등의 이유로 null 일 수 있습니다.

그러나 null인 상태로 비지니스 로직을 실행한다면 문제 상황과 마찬가지로 NullPointerException이 발생할 수 있습니다.

이를 방지하기 위한 방법으로는 null 체크, 예외 처리, 권한 체크 등을 통해서 비지니스 로직을 실행할 수 있도록 해야 합니다.

이 코드를 수정한 방법은 인증 되지 않은 사용자에 대한 적절한 예외 처리입니다.
인증이 안된 사용자에게는 jwtAuthenticationEntryPoint가 처리하고, 권한이 없는 사용자에게는 jwtAcccessDeniedHander가 처리하는 방법으로 오류가 나지 않게 하였습니다. 그렇기 때문에 만약에 사용되가 인증되지 않거나 권한이 없는 상태에서 요청을 보내면 NullPointerException 대신 인증 관련 에외가 발생하는 것입니다

긴글 읽어주셔서 감사합니다.

[Duskafka]

전체적으로 좋습니다. 스프링 시큐리티에 대한 이해도가 조금은 생겼으므로 앞으로 프로젝트 진행에 있어서 스프링 시큐리티 기능을 사용할 수 있도록 더 공부해주길 바랍니다.

잘한 점

1. 커밋 메시지에 이슈를 #를 사용해서 언급함.
2. 스프링 시큐리티에 대한 이해가 보이는 설명.

아쉬운 점

1. 커밋 메시지의 본문에서 어떤 방식으로 코드를 수정해서 해결했는지에 대한 설명이 부족함.
2. 마크다운 문법을 공부하고 Comment를 달 때 마크다운 문법을 사용하면 조금 더 가독성 있는 Comment를 작성할 수 있음.