[Jackson] 민감한 데이터를 JsonProperty를 통해 serialize, deserialize 하는 방법

 

안녕하세요. 이번 포스팅은 클라이언트가 정보를 조회했을 때 모든 데이터를 보여주는 것이 아닌 Jackson 라이브러리를 사용해서 필요한 데이터만 보여주는 방법에 대해 소개하겠습니다.

 

아래의 User 클래스가 있다고 가정하겠습니다.

@Data // lombok
public class User {
    private int id;
    private String userId;
    private String password;
}

클라이언트가 어떤 회원에 대한 정보를 조회하기 위해 GET 요청을 했을 때  아무런 조치를 하지 않는다면 id, userId, password를 모두 조회할 수 있게 됩니다. 

password는 중요한 정보이기 때문에 보여주면 문제가 발생합니다.

 

스프링부트에서는 Jackson 라이브러리를 기본적으로 갖고 있기 때문에 의존성을 추가할 필요는 없습니다.

@Data // lombok
public class User {
    private int id;
    private String userId;
    
    @JsonIgnore
    private String password;
}

 

password에 @JsonIgnore 어노테이션을 추가함으로써 클라이언트가 정보를 조회할 때 서버에서는 password 필드를 제외한 id, userId만 응답하게 됩니다.

 

하지만 @JsonIgnore는 직렬화 뿐만 아니라 역직렬화를 할 때에도 적용된다는 특징이 있습니다.

회원이 로그인을 할 때 userId, password를 입력하는데 @JsonIgnore를 password 필드에 적용함으로써 서버로 userId만 넘어오게 됩니다. 이렇게 되면 회원은 로그인을 할 수가 없습니다. 

 

이를 해결하는 방법은 @JsonProperty를 사용하면 됩니다. (더 있을 수도 있어요)

• AUTO
• READ_ONLY
• WRITE_ONLY
• READ_WRITE

 

@Data // lombok
public class User {
    private int id;
    private String userId;
    
    @JsonProperty(access = Access.WRITE_ONLY)
    private String password;
}

 

@JsonProperty(access = Access.WRITE_ONLY)

@JsonProperty 어노테이션에 access 옵션을 Access.WRITE_ONLY로 주면 됩니다.

말 그대로 역직렬화(deserialize; JSON -> Java Object)할 때에만 접근이 허용된다는 뜻입니다. 

클라이언트의 요청이 들어올 때는 password 데이터를 받을 수 있지만, 조회를 할 때에는 제외되기 때문에 응답 본문에 표시되지 않습니다.

 

@JsonProperty의 access 옵션은 WRITE_ONLY 말고도 세 가지가 더 있습니다.

- AUTO

- READ_ONLY

- READ_WRITE

 

직관적이라 쉽게 이해하실겁니다.

 

 

롬복을 사용하지 않는다면 아래처럼 사용도 가능합니다.

Getter에 @JsonIgnore를 설정하고 Setter에 @JsonProperty를 설정하면 역직렬화할 때에만 접근이 허용됩니다.

 

 

참고

https://github.com/cheese10yun/blog-sample/tree/master/jackson