[트러블슈팅] Spring Boot JWT 인증 흐름 만들고 200 OK만 나오는 문제 해결

🔥  JWT 인증 구현 & 필터 트러블슈팅

 

프로젝트에서 JWT 인증을 처음으로 직접 구현해 봤다.
회원가입과 로그인까지는 정상적으로 동작했지만.. 문제는 그 이후였다.
Controller로 요청이 넘어가지 않고, 200 OK만 나오는 현상이 발생했다.
문제를 찾지 못해서 한참을 헤매다가, 결국 처음부터 코드를 다시 정리하면서 해결했다.

 

✍️  JwtUtil 클래스

JWT를 발급하고, 검증하고, Claim 정보를 추출하는 역할을 담당하는 클래스이다.

@Slf4j(topic = "JwtUtil")
@Component
@RequiredArgsConstructor
public class JwtUtil {
    private static final String BEARER_PREFIX = "Bearer ";
    private static final long ACCESS_TOKEN_EXPIRATION = 30 * 60 * 1000;  // 30분

    @Value("${jwt.secret.key}")
    private String secretKey;

    private Key key;
    private final SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    // 애플리케이션 시작 시 SecretKey 초기화
    @PostConstruct
    public void init() {
        if (!StringUtils.hasText(secretKey)) {
            log.error("JWT secret key is null or empty.");
            throw new BadRequestException(ErrorCode.MISSING_JWT_SECRET_KEY);
        }
        try {
            byte[] bytes = Base64.getDecoder().decode(secretKey);
            key = Keys.hmacShaKeyFor(bytes);
            log.info("JWT secret key initialized successfully");
        } catch (IllegalArgumentException e) {
            log.error("Failed to decode JWT secret key: {}", e.getMessage());
            throw new InternalServerException(ErrorCode.INVALID_JWT_SECRET_KEY);
        }
    }

    // 🔹 AccessToken 생성
    public String createToken(Long memberId, String email, String nickname, Authority authority) {
        Date now = new Date();

        return BEARER_PREFIX + Jwts.builder()
            .setSubject(String.valueOf(memberId))
            .claim("email", email)
            .claim("nickname", nickname)
            .claim("authority", authority)
            .setIssuedAt(now)
            .setExpiration(new Date(now.getTime() + ACCESS_TOKEN_EXPIRATION))
            .signWith(key, signatureAlgorithm)
            .compact();
    }

    // 🔹 토큰 유효성 검증
    public boolean validateToken(String token) {
        try {
            token = removeBearer(token);
            Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            log.error("Invalid JWT token: {}", e.getMessage());
            return false;
        }
    }

    // 🔹 토큰 Claim 파싱
    public Claims parseClaims(String token) {
        try {
            return Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody();
        } catch (ExpiredJwtException e) {
            throw new UnauthorizedException(ErrorCode.EXPIRED_JWT_TOKEN);
        }
    }

    // 🔹 토큰에서 정보 추출
    public Long getMemberId(String token) {
        return Long.valueOf(parseClaims(removeBearer(token)).getSubject());
    }

    public String getEmail(String token) {
        return parseClaims(removeBearer(token)).get("email", String.class);
    }

    public String getAuthority(String token) {
        return parseClaims(removeBearer(token)).get("authority", String.class);
    }

    // 🔹 "Bearer " 접두어 제거
    private String removeBearer(String token) {
        if (token != null && token.startsWith(BEARER_PREFIX)) {
            return token.substring(BEARER_PREFIX.length());
        }
        return token;
    }
}

 

✍️  JwtFilter 클래스

모든 요청을 가로채서 토큰 검증을 수행하는 필터이다.

@Slf4j(topic = "JwtFilter")
@RequiredArgsConstructor
public class JwtFilter implements Filter {

    private final JwtUtil jwtUtil;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        String requestURI = httpRequest.getRequestURI();

        // 회원가입, 로그인은 인증없이 통과
        if (requestURI.startsWith("/api/auth/")) {
            chain.doFilter(httpRequest, httpResponse);
            return;
        }

        String bearerJwt = httpRequest.getHeader("Authorization");

        if (bearerJwt == null || !bearerJwt.startsWith("Bearer ")) {
            log.error("Invalid Authorization header on URI: {}", requestURI);
            throw new UnauthorizedException(ErrorCode.INVALID_BEARER_TOKEN);
        }

        String token = bearerJwt.substring(7);

        if (!jwtUtil.validateToken(token)) {
            throw new UnauthorizedException(ErrorCode.INVALID_JWT_TOKEN);
        }

        // 토큰에서 정보 추출
        Long memberId = jwtUtil.getMemberId(token);
        String email = jwtUtil.getEmail(token);
        String authority = jwtUtil.getAuthority(token);

        // 요청에 사용자 정보 저장
        httpRequest.setAttribute("memberId", memberId);
        httpRequest.setAttribute("email", email);
        httpRequest.setAttribute("authority", authority);

        chain.doFilter(httpRequest, httpResponse);
    }
}

 

✍  FilterConfig 클래스

JwtFilter를 스프링에 등록하는 설정 클래스이다.

@Configuration
@RequiredArgsConstructor
public class FilterConfig {

    private final JwtUtil jwtUtil;

    @Bean
    public FilterRegistrationBean<JwtFilter> jwtFilter() {
        FilterRegistrationBean<JwtFilter> registrationBean = new FilterRegistrationBean<>();

        registrationBean.setFilter(new JwtFilter(jwtUtil));
        registrationBean.addUrlPatterns("/api/*");  // /api/ 하위 경로에만 적용
        registrationBean.setOrder(1);  // 필터 순서 지정

        return registrationBean;
    }
}

 

⚡  트러블슈팅 과정 정리

1. 문제 상황

👉  JWT를 적용했는데 회원가입/로그인은 정상적으로 처리되었다.
👉  하지만 이후 요청이 Controller로 넘어가지 않고, 200 OK 응답만 뜨는 현상이 발생했다.

2. 문제 원인

👉  필터(JwtFilter) 안에서 예외를 발생시키는 경우 별다른 예외 처리를 해주지 않으면 그냥 "200 OK"로 끝나버릴 수 있다.
👉  특히 throw 이후 별도로 response를 작성하거나 예외를 핸들링하지 않으면, 클라이언트는 아무것도 없는 200 OK를 받게 된다.

3. 해결 방법

👉  문제를 정확히 파악하기 위해 코드를 차근차근 다시 작성했다.
👉  그리고 필터 안에서 발생하는 예외를 Spring 예외 처리 흐름에 제대로 태워서 ControllerAdvice 같은 글로벌 예외 처리가 잡도록 설계했다.

4. 교훈

👉  "에러가 발생했으면 명확히 클라이언트에게 에러를 알려야 한다."
👉  필터나 인터셉터 같은 "요청 흐름을 제어하는 레이어"에서는 예외 처리를 더 꼼꼼히 신경 써야 한다.

 

이번 경험을 통해 JWT 인증 흐름을 스스로 설계하고, 필터에서 요청 흐름을 제어하는 법을 이해하고, 문제가 생겼을 때 처음부터 다시 점검하는 습관의 중요성을 모두 배울 수 있었다.
앞으로도 어디선가 응답이 끊긴다면 요청 흐름을 한 단계씩 꼼꼼히 따라가 봐야겠다!