[8/8 TIL] SPRING SECURITY(HTTP와 Session, Spring Session)

🍃프로그래머스 백엔드 데브코스 4기 교육과정을 듣고 정리한 글입니다.🍃

HTTP와 Session

그림 참고

• 근본적으로 HTTP는 무상태 프로토콜이고 어떤 정보도 저장하지 않음
• 서버는 인증된 사용자 정보를 저장하기 위해 Session을 만들고, 식별자인 session-id를 클라이언트로 응답함
• 클라이언트가 웹 브라우저인 경우 session-id는 보통 Cookie 에 저장됨
• 클라이언트는 HTTP 요청에 session-id를 포함시켜, 서버가 클라이언트를 식별할 수 있도록 해야함
• Session은 서버 메모리를 사용하기 때문에 너무 많아질 경우 서버 메모리 부족이 발생할 수 있음

특정 서버에서 장애가 발생하면 거기에 있던 Session은 유실이 될텐데 이를 해결하는 방법이 있을까?

Session Cluster

그림 참고

• Session을 서버 메모리가 아닌, 별도의 외부 스토리지에 저장
• 외부 스토리지는 조회 속도를 위해 보통 In-Memory 데이터베이스를 많이 사용함
  • In-Memory 데이터베이스는 디스크가 아닌, 주 메모리에 모든 데이터를 보유하고 있는 데이터베이스
  • 일반적인 디스크 조회보다 속도가 훨씬 빠르지만, 휘발성이기 때문에 서버가 꺼져서 날아가도 상관없는 데이터 (쿠키, 세션)에 사용
  • 대표적으로 Redis가 있음
• 특정 서버에 문제가 생겨도 다른 정상적인 서버에서 Session을 외부 스토리지에서 가져올 수 있으므로 사용자 인증이 풀리지 않음

Spring Session

• Spring Session는 Spring Boot 웹 어플리케이션에서 Session Cluster를 구현하는데 다양한 기능을 제공
• Session을 저장하기 위한 외부 스토리지를 추상화함으로써 일관된 API로 JDBC, Redis, Hazelcast 등 다양한 스토리지를 활용 가능

설정 방법

1. gradle 의존성 추가 및 설정
   

2. Spring Session 관련 테이블 초기화

spring:
  sql:
    init:
      platform: h2
      mode: always
      schema-locations: classpath:sql/schema_new.sql, classpath:org/springframework/session/jdbc/schema-h2.sql
      data-locations: classpath:sql/data_new.sql
      encoding: UTF-8
      mode: always

• spring-session-jdbc는 session 정보를 저장하기 위해 2개의 테이블을 사용함
  • sql.init.schema-locations 부분에 spring-session-jdbc에서 사용하는 테이블 생성 SQL 쿼리 파일을 지정
  • 테이블을 추가하기 위한 SQL 쿼리는 spring-session-jdbc jar 내부에 위치함

---

spring:
  session:
    store-type: jdbc
    jdbc:
      initialize-schema: never

• Spring Session 관련 설정
  • session.store-type 부분에 jdbc를 입력함
    • jdbc 외에 입력 가능한 값은 redis, mongodb, hazelcast등 이 있음
  • session.jdbc.initialize-schema 부분에 never를 입력함
    • sql.init.schema-locations부분에 spring-session-jdbc에서 사용하는 테이블 생성 SQL 쿼리 파일을 지정했기 때문에 사용하지 않음

3. @EnableJdbcHttpSession 어노테이션을 추가하여, jdbc기반 spring session을 활성화

@Configuration
@EnableJdbcHttpSession
public class WebMvcConfigure {
}

h2 데이터베이스 확인

• 로그인 후 h2-console에서 SPRING_SESSION, SPRING_SESSION_ATTRIBUTES 테이블 조회해보면, row가 입력되 있는것을 확인할 수 있음
  • session_id — 사용자의 Session을 식별하기 위한 고유 Key
  • 브라우저 Cookie를 확인해보면 session_id 값이 Base64 인코딩된 형태로 저장되어 있음

SessionRepository

public interface SessionRepository<S extends Session> {

	S createSession();

	void save(S session);

	S findById(String id);

	void deleteById(String id);

}

• Session의 생성, 저장, 조회, 삭제 처리에 대한 책임
• 스토리지 종류에 따라 다양한 구현체를 제공함
  • MapSessionRepository: In-Memory Map기반이며, 별도의 의존 라이브러리 필요 없음
  • RedisIndexedSessionRepository: redis 기반이며, @EnableRedisHttpSession 어노테이션으로 생성됨
  • JdbcIndexedSessionRepository: jdbc 기반이며, @EnableJdbcHttpSession 어노테이션으로 생성됨

SessionRepositoryFilter

그림 참고

• 모든 HTTP 요청에 대해 동작함
• HttpServletRequest, HttpServletResponse 인터페이스 구현을 SessionRepositoryRequestWrapper, SessionRepositoryResponseWrapper 구현체로 교체함
• 교체된 구현체는 HttpServletRequest, HttpServletResponse 인터페이스의 Session 처리와 관련한 로직을 Override함
  • Session 관련 생성 및 입출력은 SessionRepository 인터페이스를 통해 처리함
  • HttpSession 인터페이스에 대해 Spring Session 구현체 HttpSessionWrapper를 사용하도록함

Spring Security의 SecurityContextHolderFilter는 SecurityContextRepository 인터페이스 구현체인, HttpSessionSecurityContextRepository 클래스 통해 사용자의 SecurityContext를 가져오거나 갱신함

• HttpServletRequest 인터페이스의 getSession() 메소드를 통해 Session을 가져옴
• 바로 이 지점에서 HttpServletRequest 인터페이스의 스프링 세션 구현체인 SessionRepositoryRequestWrapper 클래스가 사용됨
• 결과적으로, Spring Security는 HttpServletRequest 인터페이스 구현체를 알 필요가 없고, 그냥 사용하면 됨