이번 포스팅에서는 쿠키와 세션을 통해 로그인을 처리하는 과정을 알아보자.
로그인의 상태를 어떻게 유지할 수 있을까 ❓
HTTP 강의에서 일부 설명했지만, 쿼리 파라미터를 계속 유지하면서 보내는 것은 매우 어렵고 번거로운
작업이다. 쿠키를 사용해 보자.
서버에서 로그인에 성공하면 HTTP 응답에 쿠키를 담아서 브라우저에 전달하자. 그러면 브라우저는 앞으로 해당 쿠키를 지속해서 보내준다.
로그인 시 쿠키 생성 | 클라이언트에서 쿠키 전달 |
---|---|
사용자는 상황에 따라 입맛에 맞게끔 쿠키의 생명주기를 설정해 사용할 수 있다.
영속 쿠키
: 만료 날짜를 입력하면 해당 날짜까지 유지세션 쿠키
: 만료 날짜를 생략하면 브라우저 종료 시까지만 유지브라우저 종료 시 로그아웃이 되길 기대하므로, 우리에게 필요한 것은 세션 쿠키이다.
이제 스프링 부트를 이용해 서버에서 쿠키를 생성 및 조회를 해보자.
java.servlet.http
에는 Cookie
라는 클래스를 제공해 주는데 이 클래스를 이용해 클라이언트에 응답할 쿠키 정보를 쉽게 핸들링할 수 있다.
@PostMapping("login")
public String login(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult,
HttpServletResponse response) {
if (bindingResult.hasErrors()) return "login/loginForm";
Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
if (loginMember == null) {
bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
return "login/loginForm";
}
// 쿠키에 시간 정보를 주지 않으면 세션 쿠키가 된다. (브라우저 종료 시 모두 종료)
Cookie idCookie = new Cookie("memberId", String.valueOf(loginMember.getId()));
response.addCookie(idCookie);
return "redirect:/";
}
Cookie
라는 클래스 생성자로 key / value
를 인수로 넘겨주어 생성한다. idCookie
)를 서버 응답 객체(HttpServletResponse
)에 addCookie
를 이용해 담아준다. 그럼 실제로 웹 브라우저에서는 Set-Cookie
프로퍼티에 쿠키 정보가 담겨 반환된다. @GetMapping("/")
public String homeLogin(@CookieValue(name = "memberId", required = false) Long memberId, Model model) {
if (memberId == null) return "home";
Member loginMember = memberRepository.findById(memberId);
if (loginMember == null) return "home";
model.addAttribute("member", loginMember);
return "loginHome";
}
key
가 memberId
인 쿠키 값을 찾아 memberId
변수에 할당해 준다. required
가 false
이기에 쿠키 정보가 없는 비회원도 접근 가능하다. 로그인을 했으면 로그아웃도 있어야 한다. 로그아웃 기능은 쿠키를 삭제하는 게 아니라 종료 날짜를 0으로 줘서 바로 만료시킴으로써 삭제할 수 있다.
@PostMapping("/logout")
public String logout(HttpServletResponse response) {
expiredCookie(response, "memberId");
return "redirect:/";
}
private void expiredCookie(HttpServletResponse response, String cookieName) {
Cookie cookie = new Cookie(cookieName, null);
cookie.setMaxAge(0);
response.addCookie(cookie);
}
Max-Age=0
으로 되어있어 해당 쿠키는 즉시 종료된다.쿠키는 아래와 같은 보안 문제점을 가지고 있다.
문제점을 정리해 보면 쿠키는 위변조 및 도용이 쉽다는 문제가 있다.
이 문제를 해결하려면 결국 중요한 정보를 모두 서버에 저장해야 한다. 그리고 클라이언트와 서버는 추정 불가능한 임의의 식별자 값으로 연결해야 한다.
이렇게 서버에 중요한 정보를 보관하고 연결을 유지하는 방법을 세션이라 한다.
위에서 했던 내용을 요약하면 중요 정보는 서버의 세션 저장소에 key / value
로 저장한 뒤 브라우저에서는 key
값만 가지고 있도록 하는 것이다.
세션 기반 로그인 과정 |
---|
이제 다음 로그인이나 페이지 접근 시 쿠키에선 저장하고 있는 sessionId
를 같이 전달하면 서버의 세션 저장소에서는 해당 sessionId
를 key
로 가지고 있는 value
값을 조회해서 로그인 여부와 중요 정보를 확인한다.
여기서 더하여 세션 아이디가 저장된 쿠키의 만료시간을 짧게 유지한다면, 해커가 해당 키를 도용한다 하더라도 금세 갱신되며 사용하지 못하게 되어 보안적으로 좀 더 안전해질 수 있다.
이러한 세션은 다음과 같이 크게 3가지 기능을 제공해야 한다.
값(value)
이 있어야 한다. 서블릿을 통해 HttpSession
을 생성하면 다음과 같은 쿠키를 생성한다. 쿠키 이름이 JSESSIONID
이고, 값은 추정 불가능한 랜덤 값이다.
Cookie: JSESSIONID=5B78E23B513F50164D6FDD8C97B0AD05
public interface SessionConst {
String LOGIN_MEMBER = "loginMember";
}
@PostMapping("login")
public String loginV3(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult,
HttpServletResponse response, HttpServletRequest request) {
if (bindingResult.hasErrors()) return "login/loginForm";
Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
if (loginMember == null) {
bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
return "login/loginForm";
}
// 세션 매니저를 통해 세션 생성 및 회원정보 보관
// 세션이 있으면 있는 세션 반환, 없으면 신규 세션 생성
HttpSession session = request.getSession();
session.setAttribute(SessionConst.LOGIN_MEMBER, loginMember);
return "redirect:/";
}
@PostMapping("/logout")
public String logoutV3(HttpServletResponse response, HttpServletRequest request) {
HttpSession session = request.getSession(false);
if (session != null) session.invalidate();
return "redirect:/";
}
public HttpSession getSession(boolean create); // default true
여기서 create
옵션의 의미는 다음과 같다.
request.getSession(true)
일 경우
request.getSession(false)
일 경우
null
을 반환한다.추가적으로 인수를 전달하지 않을 경우 기본 값으로 true
이다.
스프링은 세션을 더 편리하게 사용할 수 있도록 @SessionAttribute
라는 애노테이션을 제공한다.
@GetMapping("/")
public String homeLoginV3Spring(
@SessionAttribute(name = SessionConst.LOGIN_MEMBER, required = false)Member loginMember,
HttpServletRequest request, Model model) {
if (loginMember == null) return "home";
model.addAttribute("member", loginMember);
return "loginHome";
}
@CookieValue
와 비슷하다. 클라이언트로부터 전달받은 내용의 세션 중에서 key
가 일치하는 게 있는지 찾는다. required
가 false
이니 만약 못 찾으면 null
이 할당될 것이다. 로그인을 처음 시도하면 URL이 다음과 같이 jsessionid
를 포함하고 있는 것을 확인할 수 있다.
http://localhost:8080/;jsessionid=F5511518B921DF6209l.......
이것은 웹 브라우저가 쿠키를 지원하지 않을 때 쿠키 대신 URL을 통해서 세션을 유지하는 방법이다. 이 방법을 사용하려면 URL에 이 값을 계속 포함해서 전달해야 한다. 타임리프 같은 템플릿은 엔진을 통해서 링크를 걸면 jsessionid
를 URL에 자동으로 포함해 준다. 서버 입장에서 웹 브라우저가 쿠키를 지원하는지 하지 않는지 최초에는 판단하지 못하므로, 쿠키 값도 전달하고, URL에 jsessionid
도 함께 전달한다.
URL 전달 방식을 끄고 항상 쿠키를 통해서만 세션을 유지하고 싶으면 다음 옵션을 넣어주면 된다. 이렇게 하면 URL에 jsessionid
가 노출되지 않는다
server.servlet.session.tracking-modes=cookie
HttpSession
에서는 많은 세션 정보를 제공하는데 다음과 같다.
public void printSessionInfo(HttpServletRequest request, String sessionId){
HttpSession session = request.getSession(false);
log.info("sessionId={}", session.getId());
log.info("getMaxInactiveInterval={}", session.getMaxInactiveInterval());
log.info("creationTime={}", new Date(session.getCreationTime()));
log.info("lastAccessedTime={}", new Date(session.getLastAccessedTime()));
log.info("isNew={}", session.isNew());
}
sessionId
: 세션 아이디(JSESSIONID)
의 값(ex:754BE5D4DD969894D958AC278370D06E
)
maxInactiveInterval
: 세션의 유효 시간 (ex: 1800초)
creationTime
: 세션 생성 일시
lastAccessedTime
: 세션과 연결된 사용자가 최근에 서버에 접속한 시간.
(클라이언트에서 서버로 sessionId
(JSESSIONID
)를 요청한 경우 갱신된다.)
isNew
: 새로 생성된 세션인지, 아니면 이미 과거에 만들어졌고, 클라이언트에서 서버로 sessionId
(JSESSIONID
)를 요청해서 조회된 세션인지 여부
대부분의 사용자는 직접 명시적으로 로그아웃 버튼을 누르지 않는다.
그냥 웹 브라우저를 종료할 뿐인데 HTTP는 비 연결성(ConnectionLess
)이기에 서버 측에선 클라이언트가 웹 브라우저를 종료했는지를 알 수 없다. 그렇기에 세션을 언제 삭제해야 할지 판단하기 어렵다.
그렇다고 세션을 무한정 유지되도록 한다면, 여러 가지 문제가 발생할 수 있다.
JSESSIONID
를 탈취당한 경우 시간이 흘러도 해당 쿠키로 악용될 수 있다.
세션은 기본적으로 메모리에 생성되는데 메모리의 크기가 무한하지 않기에 사용하지 않는 세션이 관리되지 않으면 성능 저하가 필연적이고 OutOfMemoryException
이 발생할 수 있다.
이러한 이유로 세션에는 타임아웃이 되어야 하는데, 종료 시점은 어떻게 설정하는 게 좋을까 ❓
너무 빠르면 로그인 유지가 무관하게 계속 로그인을 해야 한다. 그렇다고 너무 길게 잡으면 위에 말한 문제 문제가 발생한다. 기본적으로는 세션 생성 시점으로부터 30분 정도를 잡고는 한다.
하지만, 여기서 문제가 한 가지 더 있다. 종료 시점을 30분으로 둔다고 하면 사용자가 30분간 활동하다가 다시 로그인을 해야 하는 것일까 ❓ 이보다는 사용자가 가장 최근 요청한 시간을 기준으로 30분 정도를 유지하는 것이다.
HttpSession
은 기본적으로 이 방식을 사용하는데 기획에 따라 이 설정을 변경할 수도 있다.
스프링 부트에서는 application.properties
에 글로벌 설정을 해 줄 수 있다.
session.setMaxInactiveInterval(1800); // 1800초
이렇게 1800초(30분)으로 설정을 해두면 LastAccessTime 이후 timeout 시간이 지나면 WAS 내부에서 해당 세션을 삭제한다.
서블릿의 HttpSession
이 제공하는 타임아웃 기능 덕분에 세션을 안전하고 편리하게 사용할 수 있다.
실무에서 주의할 점은 세션에는 최소한의 데이터만 보관해야 한다는 점이다. 보관한 데이터 용량 * 사용자 수
로 세션의 메모리 사용량이 급격하게 늘어나서 장애로 이어질 수 있다. 추가로 세션의 시간을 너무 길게 가져가면 메모리 사용이 계속 누적될 수 있으므로 적당한 시간을 선택하는 것이 필요하다. 기본이 30분이라는 것을 기준으로 고민하면 된다.