[250121] 403 FORBIDDEN 에러 발생 원인 및 해결 과정

 

1. 문제 상황

• 문제 상황 403 에러는 권한 부족을 나타내는 상태 코드이지만, 인증 실패(401 Unauthorized) 상황에서도 403이 반환되어 인증 실패와 권한 부족 상황이 구분되지 않아 디버깅 과정에서 원인을 정확히 파악하기 어려웠다.
• 사용자가 API 요청을 보낼 때 지속적으로 403 Forbidden 에러가 발생했다.

---

2. 원인 분석

• 문제의 원인은 Spring Security와 JwtAuthFilter 클래스 간의 상호 작용 중 처리 되지 않은 예외가 있어 발생했다.

1. JwtAuthFilter에서 발생한 인증 실패 예외가 처리되지 않음.

• 토큰이 유효하거나 만료된 경우, JwtAuthFilter에서 CustomException이 발생하지만, 이 예외를 필터 내부에서 처리되지 않았다.
• 처리 되지 않은 예외가 Spring Security의 기본 흐름으로 전달되었고, Spring Security는 이를 403 Forbidden으로 간주하여 반환되었다.

2. Spring Security의 기본 예외 처리.

• Spring에서는 따로 예외 처리를 하지 않는다면 예외 발생 시 500 에러가 발생하지만,
• Spring Security에서는 403 Forbidden으로 반환한다.
• 그렇기 때문에 JWT 검증 실패와 같은 인증 실패 상황에서도 동일한 403 에러가 발생해 문제 원인을 혼동하게 만들었다.

 

---

3. 해결 방안

• 문제를 해결하기 위해서 인증 실패의 경우(401 Unauthorized), 권한 부족의 경우(403 Forbidden)을 구분할 수 있도록 수정했다.

1. JwtAuthFilter에서 예외 처리 진행

• JwtAuthFilter 내부에서 발생하는 인증 실패 예외(CustomException)를 명시적으로 처리하여, 인증 실패 시 401 Unauthorized 응답을 반환하도록 수정했다.

 

2. SecurityConfig 예외 처리 설정

• SecurityConfig에서 전역적으로 예외 처리를 설정하여, 인증 실패(401)와 권한 부족(403)을 구분했다.

---

4. 결과

 

수정 작업 후, 아래와 같은 결과를 얻을 수 있었다.

 

1. JWT 검증 실패 : JWT가 없거나 잘못된 경우, 401 Unauthorized 응답 반환

 

2. 권한 부족 : 인증된 사용자가 권한이 없는 리소스를 요청하는 경우, 403 Forbidden 응답 반환

 

 

결과적으로 사용자는 문제 상황에 따른 적절한 상태 코드와 메시지를 확인할 수 있으며, 저희 팀은 401과 403 상항을 명확히 구분하여 디버깅할 수 있게 되었다!