Github 소스코드

🔎 Cookie 가 아닌 Session을 이용하는 이유

정말 간단하게 Cookie만을 이용해서 로그인 처리도 가능합니다.
하지만 보안상에 정말 많은 취약점이 발생합니다. Cookie를 로그인에 이용한다는 것은 사용자의 권한을 그대로 공개하는 것과 같습니다.
Cookie는 탈취 가능하고 변조가 가능하기 때문이지요.
이런 이유로 보안상 이슈를 해결해야 합니다.

🔎 Session ...

세션은 Cookie에 기반합니다. 결국 쿠키를 사용하는 것이지요.
하지만 결정적으로 다른 것은 의미있는 정보를 Cookie 자체에 저장하지 않는다는 것 입니다.

Session은 의미있는 정보를 서버에 저장합니다.

Cookie에는 서버의 의미있는 정보과 매핑을 위한 추정 불가능한 난수가 저장되어 클라이언트에게 전달됩니다.
서버는 클라이언트로부터 받은 Cookie의 난수값을 서버측 세션 저장소와 매핑하여 실제 의미있는 값을 사용하게 되는 것 입니다.

---

🔎 Session 직접 구현

세션 저장소 생성

세션 저장소를 위한 Map을 생성합니다. 세션을 위한 클래스는 스프링 빈으로 등록할 것이기 때문에 싱글톤입니다. 멀티쓰레드 환경에서 race condition문제를 방지하기 위해 ConcurrentHashMap을 사용합니다.
Map의 key값으로는 난수(UUID)가 저장될 것이고 value에는 실제 의미있는 정보가 저장될 것입니다.

private Map<String, Object> sessionMap = new ConcurrentHashMap<>();

쿠키의 key값이 될 문자열 상수 정의

private final String MY_SESSION_NAME = "mySessionName";

세션 생성 메서드

UUID를 세션 저장소의 key값으로 하고 매개변수로 받은 의미있는 데이터를 세션 저장소의 value로 저장합니다.
사용자에게 응답해줄 Cookie에는 임의 문자열 상수를 key값으로 하고 세션 저장소와 매핑될 UUID를 key값으로 지정하여 응답객체 (HttpServletResponse)에 담아줍니다.

public void createSession(HttpServletResponse response, Object value) {

    String sessionKey = UUID.randomUUID().toString();
    sessionMap.put(sessionKey, value);

    Cookie cookie = new Cookie(MY_SESSION_NAME, sessionKey);
    response.addCookie(cookie);
}

세션 get 메서드

클라이언트로부터 받은 요청에서 Cookie를 파싱합니다.
파싱된 Cookie에서 value(세션 저장소key)로 세션 저장소를 조회하여 실제 값을 데이터를 받아옵니다.

public Object getSession(HttpServletRequest request) {

    if (request.getSession() == null) return null;

    Cookie requestCookie = Arrays.stream(request.getCookies())
            .filter(cookie -> cookie.getName().equals(MY_SESSION_NAME))
            .findAny()
            .orElse(null);
    if (requestCookie == null) return null;
    return sessionMap.get(requestCookie.getValue());
}

세션 만료 메서드

세션을 만료시킨다는 것은 세션 저장소에서 실제 값을 삭제해주는 것 입니다.
클라이언트 측에 여전히 Cookie는 남아있겠지만 세션 저장소에 없는 key 값이므로 의미 없는 Cookie이기 때문에 문제 없습니다.

public void expireCookie(HttpServletRequest request) {
    Cookie requestCookie = Arrays.stream(request.getCookies())
                .filter(cookie -> cookie.getName().equals(MY_SESSION_NAME))
                .findAny()
                .orElse(null);
        
    if (requestCookie != null) sessionMap.remove(requestCookie.getValue());
}

---

🔎 Spring MVC가 제공하는 세션 사용 (ServletHttpSession)

로그인 처리

컨트롤러로 로그인 요청이 왔을 때 세션에 로그인 정보를 저장해주는 부분입니다. request 객체를 통해 session을 생성하거나 기존의 세션을 가져옵니다.
후에 session의 setAttribute메서드를 이용해 실제 값을 저장합니다.

이때 Cookie를 생성하는데 기본으로 Cookie의 이름은 JSESSIONID가 되고 값은 추정 불가능한 난수로 설정됩니다.

HttpSession session = request.getSession(true);
session.setAttribute("SESSION-KEY", member);

로그아웃 처리 (세션만료)

getSession() 메서드는 false의 경우 세션이 있는 경우 세션을 받아오고 없는 경우 null을 반환합니다. true의 경우 세션이 없는 경우 신규로 세션을 생성합니다.
session이 null이 아니라면 invalidate() 메서드를 이용해서 세션을 제거합니다.

HttpSession session = request.getSession(false);
if (session != null) {
    session.invalidate(); // 세션 제거
}

세션 값 받아오기

@SessionAttribute를 이용해 세션의 값을 객체로 바인딩 할 수 있습니다.
알맞은 key값을 지정하여 객체에 값을 바인딩합니다. required 속성을 이용해 필수 여부를 지정할 수도 있습니다.

로그인 처리시 세션을 통해 받아온 Member객체가 null이 아니라면 로그인 성공시 페이지로 null이라면 다시 로그인 페이지로 분기시키는 것이 가능합니다.

public String home(
            @SessionAttribute(name="SESSION-KEY", required = false) Member member) {
        ...
}

인프런 김영한님의 스프링 MVC 2편 을 수강하고 정리한 내용입니다.