도메인
- 화면, UI, 기술 인프라 등등의 영역은 제외한 시스템이 구현해야 하는 핵심 비즈니스 업무 영역을 말함
- Item이나 Repository 등..
- web은 domain을 의존하지만, domain은 web을 의존하지 않게 설계해야함
로그인 처리하기 - 쿠키 사용
로그인 상태를 유지하기 위해 쿼리 파라미터를 계속 유지하면서 보내는 것은 매우 어렵고 번거로움 > 쿠키를 사용!!
- 서버에서 로그인에 성공하면 HTTP 응답에 쿠키를 담아서 브라우저에 전달 (Set-Cookie: memberId=1)
- 브라우저는 모든 요청에 해당 쿠키정보를 자동으로 포함해서 보냄 (Cookie: memberId=1)
쿠키의 종류
- 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지
- 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
LoginController.java
//로그인 성공 처리
//쿠키에 시간 정보를 주지 않으면 세션 쿠키(브라우저 종료시 모두 종료)
Cookie idCookie = new Cookie("memberId",String.valueOf(loginMember.getId()));
response.addCookie(idCookie);로그인에 성공하면 쿠키를 생성하고 HttpServletResponse에 담음
HomeController.java
@GetMapping("/")
public String homeLogin(
@CookieValue(name="memberId",required = false) Long memberId, Model model){
//로그인 하지 않은 사용자도 들어와야하기때문에 required = false
//쿠키값은 자동으로 타입 컨버팅 해주어서 Stirng -> Long으로 받을 수 있음
if(memberId==null) {
return "home";
}
//로그인에 성공
Member loginMember = memberRepository.findById(memberId);
//디비에 없을 때(로그인 쿠키가 있어도 회원이없으면)
if(loginMember==null){
return "home";
}
model.addAttribute("member",loginMember);
return "loginHome";
}- @CookieValue를 사용하면 편리하게 쿠키를 조회
- 로그인 하지 않은 사용자도 홈에 접근할 수 있기 때문에 required = false를 사용
LoginController.java
@PostMapping("/logout")
public String logout(HttpServletResponse response){
//쿠키를 없애는 방법 > 쿠키의 시간을 없앰
expireCookie(response,"memberId");
return "redirect:/";
}
private void expireCookie(HttpServletResponse response, String cookieName) {
Cookie cookie=new Cookie(cookieName,null);
cookie.setMaxAge(0);
response.addCookie(cookie);
}- 서버에서 해당 쿠키의 종료 날짜를 0으로 지정 > 해당 쿠키는 즉시 종료
쿠키와 보안 문제
쿠키를 사용해서 로그인Id를 전달해서 로그인을 유지할 수 있지만 심각한 보안 문제 발생
- 쿠키 값은 임의로 변경할 수 있음
- 쿠키에 보관된 정보는 훔쳐갈 수 있음
- 해커가 쿠키를 한번 훔쳐가면 평생 사용할 수 있음
대안
- 쿠키에 중요한 값을 노출하지 않고, 사용자 별로 예측 불가능한 임의의 토큰(랜덤 값)을 노출하고, 서버에서 토큰과 사용자 id를 매핑해서 인식
그리고 서버에서 토큰을 관리 - 토큰은 해커가 임의의 값을 넣어도 찾을 수 없도록 예상 불가능 해야 함
- 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 해당 토큰의 만료시간을 짧게 유지
또는 해킹이 의심되는 경우 서버에서 해당 토큰을 강제로 제거
로그인 처리하기 - 세션 동작 방식
- 쿠키의 보안 문제를 해결하려면 중요한 정보를 모두 서버에 저장해야 함
- 클라이언트와 서버는 추정 불가능한 임의의 식별자 값으로 연결
- 서버에 중요한 정보를 보관하고 연결을 유지하는 방법 -> 세션
동작 방식
- 사용자가 loginId, password 정보를 전달하면 서버에서 해당 사용자가 맞는지 확인
- 회원 저장소에 해당 사용자가 있으면 서버에서 세션 ID를 생성
- 세션 ID는 추정 불가능해야함 > UUID는 추정이 불가능
Cookie: mySessionId=zz0101xx-bab9-4b92-9b32-dadb280f4b61
- 세션 ID는 추정 불가능해야함 > UUID는 추정이 불가능
- 생성된 세션 ID와 세션에 보관할 값(사용자 정보)을 서버의 세션 저장소에 보관
- 세션 ID를 응답 쿠키로 전달
- 클라이언트와 서버는 쿠키로 연결
- 서버는 클라이언트에 세션ID(토큰 키) 만 쿠키에 담아서 전달
- 클라이언트는 쿠키 저장소에 해당 쿠키를 보관
- 회원과 관련된 정보는 전혀 클라이언트에 전달하지 않고 추정 불가능한 세션 ID만 쿠키를 통해 클라이언트에 전달
- 클라이언트는 요청시 항상 서버에 쿠키를 전달
- 서버에서는 클라이언트가 전달한 쿠키 정보로 세션 저장소를 조회해서 로그인시 보관한 세션 정보(사용자 정보)를 사용
세션의 사용으로 쿠키의 보안 문제 해결
- 쿠키 값을 변조 가능
-> 예상 불가능한 복잡한 세션ID를 사용 - 쿠키에 보관하는 정보는 클라이언트 해킹시 털릴 수 있음
-> 세션Id가 털려도 여기에는 중요한 정보가 없음 - 쿠키 탈취 후 사용
-> 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 세션의 만료시간을 짧게 유지, 또는 해킹이 의심되는 경우 서버에서 해당 세션을 강제로 제거
로그인 처리하기 - 서블릿 HTTP 세션1
- 서블릿은 세션을 위해 HttpSession 이라는 기능을 제공
- 서블릿을 통해 HttpSession을 생성하면 쿠키 이름이 JSESSIONID이고, 값은 추정 불가능한 랜덤 값인 쿠키가 생성됨
Cookie: JSESSIONID=5B78E23B513F50164D6FDD8C97B0AD05
login
//세션이 있으면 있는 세션을 반환, 없으면 신규 세션을 생성해서 반환
HttpSession session = request.getSession();
//세션에 로그인 회원 정보 보관
session.setAttribute(SessionConst.LOGIN_MEMBER,loginMember);- request.getSession(true)
- 세션이 있으면 기존 세션을 반환
- 세션이 없으면 새로운 세션을 생성해서 반환
- request.getSession(false)
- 세션이 있으면 기존 세션을 반환
- 세션이 없으면 새로운 세션을 생성하지 않고 null을 반환
- default는 true
logout
HttpSession session = request.getSession(false);
//true라고 하면 세션을 만들어버리기 때문에, 세션을 없애는게 목적이라서 false
if(session!=null){
session.invalidate();
//세션과 그 안에 있는 데이터가 다 날라감
}home
HttpSession session = request.getSession(false);
//세션을 생성할 의도가 없기 때문에 false 로 둠
if(session==null){
return "home";
}
Member loginMember = (Member)session.getAttribute(SessionConst.LOGIN_MEMBER);
//세션에 회원 데이터가 없으면 home
if(loginMember==null){
return "home";
}
//세션이 유지되면 로그인으로 이동
model.addAttribute("member",loginMember);
return "loginHome";request.getSession(false): 세션을 찾아서 사용하는 시점에는 false 옵션을 사용해서 세션을 생성하지 않음session.getAttribute(SessionConst.LOGIN_MEMBER): 로그인 시점에 세션에 보관한 회원 객체를 찾음
로그인 처리하기 - 서블릿 HTTP 세션2
@SessionAttribute
@GetMapping("/")
public String homeLoginV3Spring(
@SessionAttribute(name=SessionConst.LOGIN_MEMBER,required = false) Member loginMember,
Model model){
//세션에 회원 데이터가 없으면 home
if(loginMember==null){
return "home";
}
//세션이 유지되면 로그인으로 이동
model.addAttribute("member",loginMember);
return "loginHome";
}- 스프링은 세션을 더 편리하게 사용할 수 있도록
@SessionAttribute을 지원 - 세션을 찾고, 세션에 들어있는 데이터를 찾는 번거로운 과정을 스프링이 한번에 편리하게 처리
- 이 기능은 세션을 생성하지 않음
TrackingModes
로그인을 처음 시도하면 URL이 jsessionid을 포함하고 있음
http://localhost:8080/;jsessionid=F59911518B921DF62D09F0DF8F83F872
- 웹 브라우저가 쿠키를 지원하지 않을 때 쿠키 대신 URL을 통해서 세션을 유지하는 방법
- 이 방법을 사용하려면 URL에 이 값을 계속 포함해서 전달
- 서버 입장에서 웹 브라우저가 쿠키를 지원하는지 하지 않는지 최초에는 판단하지 못하므로, 쿠키 값도 전달하고, URL에 jsessionid 도 함께 전달
URL 전달 방식을 끄고 항상 쿠키를 통해서만 세션을 유지하고 싶으면 옵션을 넣어줌
application.properties
server.servlet.session.tracking-modes=cookie세션 정보와 타임아웃 설정
세션이 제공하는 데이터
session.getId(): 세션ID, JSESSIONID의 값session.getMaxInactiveInterval(): 세션의 유효 시간session.getCreationTime(): 세션 생성일시session.getLastAccessedTime(): 세션과 연결된 사용자가 최근에 서버에 접근한 시간, 클라이언트에서 서버로 sessionId (JSESSIONID)를 요청한 경우에 갱신session.isNew(): 새로 생성된 세션인지의 여부
세션의 종료 시점
- 사용자가 서버에 최근에 요청한 시간을 기준으로 30분 정도를 유지해주는 것이 좋음
- 사용자가 서비스를 사용하고 있으면, 세션의 생존 시간이 30분으로 계속 늘어나게 됨
세션 타임아웃 설정
스프링 부트로 글로벌 설정
application.properties
server.servlet.session.timeout=60- 글로벌 설정은 분 단위로 설정
- 60(1분), 기본은 1800(30분)
- 글로벌로 설정하면 모든 세션에 다 적용이 됨
특정 세션 단위로 시간 설정
session.setMaxInactiveInterval(1800); //1800초세션 타임아웃 발생
session.getLastAccessedTime()(최근 세션 접근 시간) 이후로 timeout 시간이 지나면 세션이 제거됨session.getLastAccessedTime()은 해당 세션과 관련된 JSESSIONID를 전달하는 HTTP 요청이 있으면 현재 시간으로 다시 초기화됨
주의
세션에는 최소한의 데이터만 보관해야 함
예제에서는 멤버 객체를 담았으나, 실제로는 멤버의 아이디 정도만 담거나 최소한의 정보만 담는 것이 좋음
