Spring Security와 JPA Auditing을 활용한 자동 등록자 및 수정자 처리

JPA Auditing이란?

JPA Auditing은 엔티티의 생성 및 수정에 대한 감사 정보(등록 시간, 수정 시간, 등록자, 수정자)를 자동으로 관리해주는 강력한 기능입니다. 이를 활용하면 매번 엔티티를 생성하거나 수정할 때 시간을 수동으로 설정하거나, 수정자를 지정하는 번거로움 없이 자동으로 관리할 수 있습니다.

순수 JPA 사용시 Auditing 설정

순수 JPA 환경에서는 @PrePersist와 @PreUpdate 콜백 메소드를 사용하여 엔티티가 영속화되기 전과 업데이트 되기 전에 자동으로 날짜를 설정할 수 있습니다.

@MappedSuperclass  
@Getter
public class BaseEntity {
    @Column(updatable = false)  
    private LocalDateTime createdDate;
    private LocalDateTime updatedDate;

    @PrePersist  
    public void prePersist() {
        LocalDateTime now = LocalDateTime.now();
        createdDate = now;
        updatedDate = now;
    }

    @PreUpdate  
    public void preUpdate() {
        updatedDate = LocalDateTime.now();
    }
}

@Entity
@Getter
public class Member extends BaseEntity { ... }

Spring Data JPA 활용

Spring Data JPA를 사용하면 @EnableJpaAuditing 어노테이션과 AuditingEntityListener를 통해 더 간단하게 Auditing 기능을 구현할 수 있습니다.

먼저, Spring Boot 메인 클래스 또는 별도의 설정 클래스에 @EnableJpaAuditing 어노테이션을 추가합니다.

@SpringBootApplication
@EnableJpaAuditing
public class SpringApplication {
    public static void main(String[] args) {
        SpringApplication.run(SpringApplication.class, args);
    }
}

이어서, BaseEntity 클래스에 @CreatedDate 및 @LastModifiedDate 어노테이션을 사용해 자동으로 시간이 기록되도록 설정합니다.

👉 실무에서는 세션 정보나, 스프링 시큐리티 로그인 정보에서 ID를 받음

• BaseEntity

@EntityListeners(AuditingEntityListener.class)
@MappedSuperclass // 객체의 입장에서 공통 매핑 정보가 필요할 때 사용
@Getter
public class BaseEntity {
    // 등록일
    @CreatedDate
    @Column(updatable = false)
    private LocalDateTime createdDate;

    // 수정일
    @LastModifiedDate
    private LocalDateTime lastModifiedDate;

    // 등록자
    @CreatedBy
    @Column(updatable = false)
    private String createdBy;

    // 수정자
    @LastModifiedBy
    private String lastModifiedBy;
}

• Member

public class Member extends BaseEntity{
    ...
}

• test

@Test
public void JpaEventBaseEntity() throws Exception {
    //given
    Member member = new Member("member1");
    memberRepository.save(member); //@PrePersist

    Thread.sleep(100);
    member.setUsername("member2");

    em.flush(); //@PreUpdate
    em.clear();

    //when
    Member findMember = memberRepository.findById(member.getId()).get();

    //then
    System.out.println("findMember.createdDate = " + findMember.getCreatedDate());
    System.out.println("findMember.updatedDate = " + findMember.getLastModifiedDate());
    System.out.println("findMember.createdBy = " + findMember.getCreatedBy());
    System.out.println("findMember.lastModifiedBy = " + findMember.getLastModifiedBy());
}

---

구현2

실무에서 대부분의 엔티티는 등록시간, 수정시간이 필요하지만, 등록자, 수정자는 없을 수도 있다.
그래서 다음과 같이 Base 타입을 분리하고, 원하는 타입을 선택해서 상속한다.

• BaseTimeEntity

@EntityListeners(AuditingEntityListener.class)
@MappedSuperclass
@Getter
public class BaseTimeEntity {
        @CreatedDate
        @Column(updatable = false)
        private LocalDateTime createdDate;
        @LastModifiedDate
        private LocalDateTime lastModifiedDate;
}

• BaseEntity

public class BaseEntity extends BaseTimeEntity {
    @CreatedBy
    @Column(updatable = false)
    private String createdBy;
    @LastModifiedBy
    private String lastModifiedBy;
}

Spring Security와의 통합

Spring Security 환경에서는 현재 로그인한 사용자를 엔티티의 생성자 및 수정자로 자동으로 기록하고자 할 때, AuditorAware 구현체를 사용합니다. 이 구현체는 getCurrentAuditor() 메서드에서 현재 로그인한 사용자의 정보를 반환합니다.

@Configuration
@EnableJpaAuditing(auditorAwareRef = "auditorProvider")
public class AuditingConfig {

    @Bean
    public AuditorAware<String> auditorProvider() {
        return new SpringSecurityAuditorAware();
    }

    private static class SpringSecurityAuditorAware implements AuditorAware<String> {
        @Override
        public Optional<String> getCurrentAuditor() {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
            if (authentication == null || !authentication.isAuthenticated() || authentication instanceof AnonymousAuthenticationToken) {
                return Optional.empty();
            }
            return Optional.ofNullable(authentication.getName());
        }
    }
}

• @EnableJpaAuditing: Spring Data JPA의 Auditing 기능을 활성화합니다.
• AuditorAware<String>: 현재 로그인한 사용자의 정보를 반환하는 빈을 등록합니다.

다른 경우에 대한 처리

Spring Security가 아닌 다른 보안 환경이나, 스프링 시큐리티를 사용하지 않는 경우, AuditorAware 구현체에서 다른 방법으로 현재 사용자 정보를 제공할 수 있습니다. 예를 들어, 세션 정보, JWT 토큰, 특정 HTTP 헤더 등 다른 메커니즘을 통해 사용자를 식별하고 이를 getCurrentAuditor()에서 반환하도록 구현할 수 있습니다.

블로그 글: Spring Security와 JPA Auditing을 활용한 자동 등록자 및 수정자 처리

---

JPA Auditing이란?

JPA Auditing은 엔티티의 생성 및 수정 시점에 자동으로 날짜 및 사용자 정보를 기록하는 기능입니다. 이 기능을 활용하면 개발자가 수동으로 각 엔티티의 생성 시간, 수정 시간, 생성자, 수정자를 관리하지 않아도 됩니다.

BaseEntity 클래스 구성

엔티티의 공통적인 속성을 관리하기 위해 BaseEntity 클래스를 구성합니다. 이 클래스는 모든 엔티티의 상위 클래스로서, 생성 및 수정 시간, 생성자, 수정자 정보를 포함합니다.

@EntityListeners(AuditingEntityListener.class)
@MappedSuperclass
@Getter
public class BaseEntity {
    @CreatedDate
    @Column(updatable = false)
    private LocalDateTime createdDate;

    @LastModifiedDate
    private LocalDateTime lastModifiedDate;

    @CreatedBy
    @Column(updatable = false)
    private String createdBy;

    @LastModifiedBy
    private String lastModifiedBy;
}

Spring Security와의 통합

Spring Security 환경에서는 현재 로그인한 사용자를 엔티티의 생성자 및 수정자로 자동으로 기록하고자 할 때, AuditorAware 구현체를 사용합니다. 이 구현체는 getCurrentAuditor() 메서드에서 현재 로그인한 사용자의 정보를 반환합니다.

@Configuration
@EnableJpaAuditing(auditorAwareRef = "auditorProvider")
public class AuditingConfig {

    @Bean
    public AuditorAware<String> auditorProvider() {
        return () -> Optional.ofNullable(SecurityContextHolder.getContext().getAuthentication())
                             .filter(Authentication::isAuthenticated)
                             .map(Authentication::getName);
    }
}

다른 경우에 대한 처리 예시

Spring Security가 아닌 경우, 다음은 AuditorAware 구현체를 다른 방법으로 구현하는 예시입니다:

예시 1: 세션 정보 활용

@Bean
public AuditorAware<String> auditorProvider() {
    return () -> Optional.ofNullable(RequestContextHolder.getRequestAttributes())
                         .map(attributes -> (HttpSession) ((ServletRequestAttributes) attributes).getRequest().getSession(false))
                         .map(session -> (String) session.getAttribute("username"));
}

예시 2: JWT 토큰에서 사용자 정보 추출

@Bean
public AuditorAware<String> auditorProvider() {
    return () -> Optional.ofNullable(RequestContextHolder.getRequestAttributes())
                         .map(attributes -> ((ServletRequestAttributes) attributes).getRequest().getHeader("Authorization"))
                         .filter(authHeader -> authHeader.startsWith("Bearer "))
                         .map(authHeader -> authHeader.substring(7))
                         .map(this::extractUsernameFromJWT);
}

private String extractUsernameFromJWT(String token) {
    // JWT 토큰에서 username 추출 로직
}

예시 3: ThreadLocal을 사용한 사용자 정보 저장 및 조회

public class UserContextHolder {
    private static final ThreadLocal<String> userHolder = new ThreadLocal<>();

    public static void setUsername(String username) {
        userHolder.set(username);
    }

    public static String getUsername() {
        return userHolder.get();
    }

    public static void clear() {
        userHolder.remove();
    }
}

@Bean
public AuditorAware<String> auditorProvider() {
    return UserContextHolder::getUsername;
}

마무리

JPA Auditing과 Spring Security를 통합함으로써, 애플리케이션의 데이터 무결성을 강화하고, 데이터 변경 이력을 보다 효과적으로 추적할 수 있습니다. 이 설정을 통해, 엔티티가 생성되거나 수정될 때 자동으로 시간과 사용자 정보가 기록되어, 애플리케이션의 신뢰성을 높일 수 있습니다. 또한, Spring Security가 아닌 다른 환경에서도 적절한 AuditorAware 구현을 통해 유연하게 등록자와 수정자를 관리할 수 있습니다.