Spring Security의 다수의 세션 제어, 고정 보호, 정책

다수의 세션이 접속하거나, 요청이 오면 세션을 제어할 필요가 있다. 이를 해결하기 위한 Spring Security의 방법이 존재한다.

1. 동시(다수) 세션 제어

이전 사용자의 세션을 만료시킨다. or 현재 사용자의 인증을 실패로 처리한다.

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
           .sessionManagement() // 세션 관리 등록
                .maximunSessions(1) // 최대 허용 가능한 세션 수 설정, -1은 무제한으로 허용한다.
                .maxSessionPreventsLogin(true) // 동시 로그인을 차단한다. false로 설정 시 기존의 세션을 만료시킨다. (기본값)
                .invaliSessionUrl("/notsession") // 세션이 유효하지 않을 때 URL 설정
                .expiredUrl("/notfoundsession") // 세션이 만료된 경우 URL 설정
    }

2. 세션 고정 보호

만약, 사용자가 해커가 심어놓은 쿠키로 로그인을 시도하더라도 인증할 때 마다 새로운 세션과 쿠키가 생성되어 보호하는 역할을 수행한다.

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
           .sessionManagement() // 세션 관리 등록
                .sessionFixation()
                    .changeSessionId() // 기본 설정값 none, migrateSession, newSession 설정 가능
    }

3. 세션 정책

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
           .sessionManagement() // 세션 관리 등록
                .sessionCreationPolicy(sessionCreationPolicy.Always) // 항상 세션을 생성한다.
                .sessionCreationPolicy(sessionCreationPolicy.If_Required) // 필요할 시 생성한다. (기본값)
                .sessionCreationPolicy(sessionCreationPolicy.Never) // 생성하지 않지만, 만약 이미 존재한다면 사용한다.
                .sessionCreationPolicy(sessionCreationPolicy.Stareless) // 생성하지 않고, 존재해도 사용하지 않는다.
    }

Spring Security의 세션 제어 필터

Spring Security의 세션 제어 필터는 SessionManagementFilter가 존재하며 해당 필터의 역할은 아래와 같다.

1. 세션을 관리한다.
   인증 시 사용자의 세션 정보 등록/조회/삭제 등의 이력을 관리한다.
2. 동시 세션을 제어한다.
   동일 계정에 대한 접속 허용 최대 세션 수를 제한한다.
3. 세션을 고정으로 보호한다.
   사용자 인증을 진행할 때 마다 세션과 쿠키를 새로 발급하여 쿠키 조작을 방지한다.
4. 세션 생성 정책을 따른다.

매 요청마다 현재 사용자의 세션 만료 여부를 확인하는 필터

ConcurrentSessionFilter는 매 요청마다 현재 사용자의 세션에 대한 만료 여부를 체크한다. 또한
세션이 만료되었을 경우 즉시 만료로 처리한다.
session.isExpired()가 true라면, 로그아웃 처리와 함께 즉시 오류 페이지를 응답한다.

---

참고

새로운 도전을 위한 한걸음
김민수님
junhabaeks