세션

moon.kick·2025년 4월 15일

너무 잘 짚었어요!
세션 강제 만료, 동시 로그인 제한, 관리자용 세션 모니터링 JSP —
이건 중·고급 웹 시스템에서 아주 자주 쓰이는 기능이에요. 실무에서도 보안, 관리, 트래픽 제어 측면에서 매우 중요합니다.

✅ 1. 세션 강제 만료 (강제 로그아웃)

💡 언제 써?

관리자가 특정 유저 강제 로그아웃
비정상 접근 감지 시
탈퇴, 정지 계정 처리 시

🔧 구현 방법 요약

ServletContext 또는 별도 Map에 userId → session 저장
관리자가 해당 세션 찾아서 .invalidate() 호출하면 즉시 로그아웃됨

// 세션 저장소에서 해당 세션 가져오기
HttpSession targetSession = sessionMap.get("heejeong");
if (targetSession != null) {
    targetSession.invalidate(); // 강제 만료
}

✅ 2. 동시 로그인 제한 (1인 1세션 원칙)

💡 언제 써?

보안 시스템, 시험 시스템, 관리자 페이지 등에서 사용

🔧 구현 흐름

로그인할 때 기존 로그인 세션이 있으면 → 기존 세션 invalidate()
새로운 세션만 살아있게 함

// 로그인 시 기존 세션 확인
HttpSession oldSession = sessionMap.get(userId);
if (oldSession != null) {
    oldSession.invalidate(); // 기존 세션 끊기
}

// 새 세션 저장
sessionMap.put(userId, session);

✅ 3. 관리자용 세션 모니터링 JSP

💡 보여주는 내용

로그인된 유저 리스트
세션 생성 시간, 마지막 접근 시간
세션 ID
"강제 로그아웃" 버튼

🔧 구현 방식

ServletContext에 Map<String, HttpSession> 유지
JSP에서 Map을 읽어서 <table>로 렌더링

<table border="1">
<tr><th>아이디</th><th>세션ID</th><th>생성시간</th><th>최근접속</th><th>조치</th></tr>
<%
Map<String, HttpSession> sessionMap = 
   (Map<String, HttpSession>) application.getAttribute("sessionMap");

for (String id : sessionMap.keySet()) {
    HttpSession s = sessionMap.get(id);
%>
<tr>
  <td><%= id %></td>
  <td><%= s.getId() %></td>
  <td><%= new Date(s.getCreationTime()) %></td>
  <td><%= new Date(s.getLastAccessedTime()) %></td>
  <td>
    <form action="ForceLogoutServlet" method="post">
      <input type="hidden" name="targetId" value="<%= id %>">
      <button type="submit">강제 로그아웃</button>
    </form>
  </td>
</tr>
<% } %>
</table>

🔧 ForceLogoutServlet은 sessionMap.get(targetId).invalidate()로 구현하면 OK!

📦 공통 전제: 세션을 저장하고 관리해야 한다!

ServletContext 또는 전역 static Map에 userId → HttpSession 저장해야 함
이걸 SessionRegistry, SessionManager, SessionHolder 등 이름 붙여 관리

🎯 결과적으로 가능해지는 것들

기능	설명
강제 로그아웃	관리자 또는 시스템이 유저 세션 강제로 끊기
동시 로그인 제한	같은 계정으로 여러 명이 동시에 접속 불가
세션 관리 대시보드	로그인 유저 현황 실시간으로 파악 가능
실시간 차단 / 정지 처리	악성 유저 빠르게 차단 가능
로그 감시 / 알림 시스템	비정상 동시 접속 감지 → 알림 트리거 가능