스프링 시큐리티 로그인 성능 개선

Wintering·2022년 6월 16일

스프링부트와 AWS로 혼자 구현하는 웹 서비스

스프링부트와 aws로 혼자 구현하는 웹 서비스

목록 보기

7/10

어노테이션 기반을 개선하기

개선이 필요한 나쁜코드 ?
- 코드가 반복되는 것
현재 코드에서 개선할 만한 부분?!
- 세션값을 가져오는 부분
  
  SessionUser user = (SessionUser) httpSEssion.getAttribute("user");
- 코드를 이렇게 구성하면 index메소드 외에 다른 컨트롤러와 메소드에서 세션값이 필요하면 그 때마다 직접 세션에서 값을 가져와야만 한다. (이런 코드의 반복은 불필요하다)
  -> 이 부분을 메소드 인자로 세션값을 바로 받을 수 있도록 변경!

1. config.auth 패키지에 @LoginUser어노테이션 생성하기

@Target(ElementType.PARAMETER)
- 이 어노테이션이 생성될 수 있는 위치를 지정
- PARAMETER로 지정했으므로 메소드의 파라미터로 선언 된 객체에서만 사용 가능
@interface
- 이 파일을 어노테이션 클래스로 지정
- LoginUser라는 이름을 가진 어노테이션이 생긴것

2. 같은 패키지에 LoginUserArgumentResolver 생성

supportsParameter()
- 컨트롤러 메서드의 특정 파라미터를 지원하는지 판단
- 여기서는 파라미터에 @LoginUser 어노테이션이 붙어 있고, 파라미터 클래스 타입이 SessionUser.class인 경우 true를 반환한다.
resolveArgument()
- 파라미터를 전달할 객체를 생성
- 여기서는 세션 객체를 가져옴

3. 2번이 Spring에서 인식될 수 있도록 WebMvcConfigurer에 추가해주기

HandlerMethodArgumentResolvers는 항상 WevMvcConfigurer의 addArgumentResolvers를 통해 추가

4. IndexController 코드 수정

@LoginUser SessionUser user
- 기존 코드가 개선됨
- 어느 컨트로러에서든 @LoginUser만 사용하면 세션 정보를 가져올 수 있음

세션 저장소로 데이터베이스 사용하기

지금 우리가 만든 서비스는 애플리케이션을 재실행하면 로그인이 풀림
👉🏻 세션이 내장톰캣의 메모리에 저장되어있기 때문

기본적으로 세션은 WAS(Web Application Server)의 메모리에 저장되고 호출됨.
이렇듯 메모리에 저장되다보니 내장 톰캣처럼 애플리케이션이 실행 시 실행되는 구조에선 항상 초기화 됨
(배포할 때마다 톰캣은 재시작됨)

또한 2대 이상의 서버에서 서비스하고 싶다면 톰캣마다 세션 동기화를 해야함.

🔎현업에서는?

1. 톰캣세션을 사용한다.

일반적으로 별다른 설정이 없을 때 기본적으로 선택되는 방식

2대 이상의 WAS가 구동되는 환경에서는 톰캣들 간의 세션 공유를 위한 추가 설정이 필요

2. MySQL과 같은 데이터베이스를 세션 저장소로 사용한다.

여러 WAS간의 공용 세션을 사용할 수 있는 가장 쉬운 방법

많은 설정이 필요 없지만, 결국 로그인 요청마다 DB IO가 발생하여 성능상 이슈가 발생할 수 있음

보통 로그인 요청이 많이 없는 백오피스, 사내 시스템 용도로 사용

3. Redis, Memcached와 같은 메모리 DB를 세션 저장소로 사용한다.

B2C 서비스에서 가장 많이 사용하는 방식

실제 서비스로 사용하기 위해서는 Embedded Redis와 같은 방식이 아닌 외부 메모리 서버가 필요

👉🏻 AWS에서 이 서비스를 배포하고 운영한다면 3번 방식은 레디스와 같은 서비스(엘라스틱 캐시)의 경우 별도의 사용료를 지불해야 하기 때문에 사용이 부담스러움. 본인이 운영하는 서비스가 커진다면 고려해보고, 이 과정에서는 2번 방식을 사용