[🔨 fix] JWT 필터가 인증 예외 경로를 건너뛰도록 개선

[jsoonworld]

📄 Work Description

문제 상황

기존 JwtAuthenticationFilter는 SecurityConfig의 permitAll 설정과 관계없이 모든 요청 헤더에 있는 토큰의 유효성을 검사했습니다. 이로 인해 토큰 재발급, 소셜 로그인 등 만료된 토큰을 사용하거나 토큰이 없는 상태로 접근해야 하는 인증 관련 API 요청이 필터 단계에서 미리 차단되는 문제가 발생했습니다.

해결 방안

OncePerRequestFilter가 제공하는 shouldNotFilter 메소드를 오버라이드하여, SecurityConfig에 정의된 AUTH_WHITELIST 경로에 대해서는 JwtAuthenticationFilter가 동작하지 않도록 수정했습니다.

이를 통해 인증이 필요 없는 경로는 토큰 유효성 검사를 안전하게 통과하여, 의도한 대로 컨트롤러에서 요청을 처리할 수 있도록 개선했습니다.

주요 변경 사항

• JwtAuthenticationFilter: shouldNotFilter를 구현하여 인증 예외 경로에 대한 필터링 로직을 제외했습니다.

• SecurityConfig: AUTH_WHITELIST의 접근 제어자를 public으로 변경하여 JwtAuthenticationFilter에서 참조할 수 있도록 수정했습니다.

  • closed [🔨 fix] JWT 필터가 인증 예외 경로를 건너뛰도록 개선 #252

[Copilot]

Pull Request Overview

This PR updates the JWT filter to skip token validation on configured whitelist endpoints.

• Added shouldNotFilter override in JwtAuthenticationFilter to bypass authentication for AUTH_WHITELIST paths
• Made AUTH_WHITELIST in SecurityConfig public for filter access
• Imported and initialized AntPathMatcher to match request URIs against whitelist

Reviewed Changes

Copilot reviewed 2 out of 2 changed files in this pull request and generated 3 comments.

File	Description
JwtAuthenticationFilter.java	Implemented shouldNotFilter using AntPathMatcher and SecurityConfig.AUTH_WHITELIST
SecurityConfig.java	Changed AUTH_WHITELIST visibility to public static final

Comments suppressed due to low confidence (1)

src/main/java/org/terning/terningserver/common/security/jwt/filter/JwtAuthenticationFilter.java:37

• Add unit tests for shouldNotFilter to verify that requests matching AUTH_WHITELIST are correctly skipped and that others are filtered.

    @Override

[Copilot]

[nitpick] Consider making the AntPathMatcher instance static final or injecting a shared PathMatcher bean to avoid unnecessary instantiation and improve clarity.

Suggested change

	private final AntPathMatcher antPathMatcher = new AntPathMatcher();
	private static final AntPathMatcher antPathMatcher = new AntPathMatcher();

[jsoonworld]

피드백 감사합니다!

AntPathMatcher는 thread-safe하고 상태가 없으므로, 필터 인스턴스마다 새로 생성하는 것은 낭비같네요!.
제안해주신 대로 static final로 변경하여 클래스 레벨의 단일 인스턴스를 사용하도록 수정하겠습니!

[Copilot]

[nitpick] Referencing SecurityConfig.AUTH_WHITELIST statically couples the filter to the config class. Inject the whitelist via constructor or @value to improve testability and reduce tight coupling.

[jsoonworld]

이 부분은 특히 중요한 피드백이라고 생각합니다.

현재 필터가 설정 클래스에 직접 의존하고 있어 테스트가 어렵고 유연성이 떨어지는 구조네요!

말씀해주신 대로 SecurityConfig에서 AUTH_WHITELIST를 JwtAuthenticationFilter의 생성자를 통해 주입하는 방식으로 리팩토링하여, 두 클래스 간의 결합도를 낮추고 테스트 용이성을 높여볼게요!

[Copilot]

Static mutable arrays can be modified at runtime. Consider using an unmodifiable List or an immutable collection to prevent accidental modifications.

Suggested change

	public static final String[] AUTH_WHITELIST = {
	public static final List<String> AUTH_WHITELIST = List.of(

[jsoonworld]

맞습니다!

public static final 배열은 런타임에 내부 값이 변경될 수 있어 잠재적인 위험이 존재하죠!
제안해주신 대로 List.of()를 사용하여 누구도 수정할 수 없는 불변 컬렉션으로 만들어 코드의 안정성을 강화해보겠습니다!