세션 (Session)
- 서버는 클라이언트에
mySessionId라는 이름으로 세션 ID만 쿠키에 담아 전달한다. - 클라이언트는 쿠키 저장소에
mySessionId쿠키를 보관한다.- 회원과 관련된 정보는 클라이언트에 전달하면 안된다.
- 추정 불가능한 세션 ID만 쿠키를 통해 클라이언트에 전달한다.
로그인 처리
세션 생성
- ssionId 생성 (임의의 추정 불가능한 값)
- 세션 저장소에 sessionId와 보관할 값 저장
- sessionId로 응답 쿠키를 생성해서 클라이언트에 전달
세션 조회
- 클라이언트가 요청한 sessionId 쿠키의 값으로, 세션 저장소에 보관한 값 조회
세션 만료
- 클라이언트가 요청한 sessionId 쿠키 값으로 세션 저장소에 보관한 sessionId와 값 제거
LoginController
@PostMapping("/login")
public String loginV3(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult, HttpServletRequest request) {
if (bindingResult.hasErrors()) {
return "login/loginForm";
}
Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
if(loginMember == null) {
bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
return "login/loginForm";
}
// 로그인 성공 처리
HttpSession session = request.getSession();
session.setAttribute(SessionConst.LOGIN_MEMBER, loginMember);
return "redirect:/";
}
// @PostMapping("/logout")
public String logout(HttpServletResponse response) {
expireCookie(response, "memberId");
return "redirect:/";
}
// @PostMapping("/logout")
public String logoutV2(HttpServletResponse response, HttpServletRequest request) {
sessionManager.expire(request);
return "redirect:/";
}
@PostMapping("/logout")
public String logoutV3(HttpServletRequest request) {
HttpSession session = request.getSession(false);
if(session != null) {
session.invalidate();
}
return "redirect:/";
}세션 생성과 조회 - request.getSession()
- 세션을 생성하려면
request.getSession(true)를 사용하면 된다. - 세션의
create옵션request.getSession(true)- default- 세션이 있으면 기존 세션을 반환한다.
- 세션이 없으면 새로운 세션을 생성해서 반환한다.
request.getSession(false)- 세션이 있으면 기존 세션을 반환한다.
- 세션이 없으면 새로운 세션을 생성하지 않고 null을 반환한다.
세션 제거 - session.invalidate()
session.invalidate(): 세션을 제거한다.
HomeController
// @GetMapping("/")
public String homeLoginV3(HttpServletRequest request, Model model) {
HttpSession session = request.getSession(false);
if (session == null) {
return "home";
}
Member loginMember = (Member) session.getAttribute(SessionConst.LOGIN_MEMBER);
// 세션에 회원 데이터가 없으면 home
if (loginMember == null) {
return "home";
}
// 세션이 유지되면 로그인으로 이동
model.addAttribute("member", loginMember);
return "loginHome";
}
@GetMapping("/")
public String homeLoginV3Spring(@SessionAttribute(name = SessionConst.LOGIN_MEMBER, required = false)Member loginMember, Model model) {
// 세션에 회원 데이터가 없으면 home
if (loginMember == null) {
return "home";
}
// 세션이 유지되면 로그인으로 이동
model.addAttribute("member", loginMember);
return "loginHome";
}@SessionAttribute
- 스프링은 세션을 더 편리하게 사용할 수 있도록
@SessionAttribute을 지원한다. - 이미 로그인된 사용자를 찾을 때는 아래와 같이 사용하면된다. (존재하지 않을 경우 세션을 생성하지 않는다.)
@SessionAttribute(name = "loginMember", required = false) Member loginMember
TrackingModes
- 웹 브라우저가 쿠키를 지원하지 않을때 쿠키 대신 URL을 통해서 세션을 유지할 수 있게 URL에
jsessionid을 포함하고 있다. - URL 전달방식을 끄고 쿠키를 통해서만 세션을 유지하고싶으면 아래 옵션을 넣어주면 된다
jsessionid가 URL에 있을때 404 오류가 발생해도 다음과 같이 설정하면 된다.
application.properties
# URL 끄기
server.servlet.session.tracking-modes=cookie
# URL 키기
spring.mvc.pathmatch.matching-strategy=ant_path_matcher세션 정보와 타임아웃
SessionInfoController
package hello.login.web.session;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.util.Date;
@Slf4j
@RestController
public class SessionInfoController {
@GetMapping("/session-info")
public String sessionInfo(HttpServletRequest request) {
HttpSession session = request.getSession(false);
if (session == null) {
return "세션이 없습니다.";
}
// 세션데이터 출력
session.getAttributeNames().asIterator()
.forEachRemaining(name -> log.info("session name = {}, value = {}", name, session.getAttribute(name)));
log.info("session id = {}", session.getId());
log.info("getMaxInactiveInterval = {}", session.getMaxInactiveInterval());
log.info("creationTime = {}", new Date(session.getCreationTime()));
log.info("lastAccessTime = {}", new Date(session.getLastAccessedTime()));
log.info("isNew = {}", session.isNew());
return "세션 출력";
}
}sessionId: 세션Id,JSESSIONID의 값maxInactiveInterval: 세션의 유효시간creationTime: 세션 생성 일시lastAccessedTime: 세션과 연결된 사용자가 최근 서버에 접근한 시간, 클라이언트에서 서버로sessionId(JSESSIONID)를 요청한 경우 갱신된다.isNew: 새로 생성된 세션인지, 아니면 과거에 만들어지고 클라이언트에서 서버로sessionId(JSESSIONID)를 요청해서 조회된 세션인지 여부
타임아웃 설정
세션 종료 시점은 생성시점보단 사용자가 최근에 요청한 시간을 기준으로 30분정도 유지해주는것이 좋다. 이렇게 하면 사용자가 서비스를 이용하고 있으면, 세션 생존시간이 30분으로 계속 갱신된다.
HttpSession은 이 방식을 사용한다.
session.getLastAccessedTime(): 최근 세션 접근 시간LastAccessedTime이후로 timeout시간이 지나면, WAS가 내부에서 해당 세션을 제거한다.
글로벌 설정 - application.properties
`server.servlet.session.timeout=60` : 60초, 기본은 1800(30분)특정 단위로 시간 설정
session.setMaxInactiveInterval(1800); //1800초
Java Back-End 2022.11.01 💻~ing