로그인 처리 - 쿠키, 세션

로그인 요구사항

홈 화면 - 로그인 전

홈 화면 - 로그인 전

• 회원 가입 
• 로그인

회원가입 / 로그인 폼 화면

 

홈 화면 - 로그인 후

로그인 후 화면

• 본인 이름 ( 로그인 : ~ )
• 상품 관리
• 로그 아웃

상품 목록 / 홈 화면

보안 요구사항

• 로그인 사용자만 상품에 접근하고, 관리할 수 있습니다.
• 로그인 하지 않은 사용자가 상품 관리에 접근하면 로그인 화면으로 이동 

패키지 구조 설계

패키지 구조 - domain, web
도메인은 시스템이 구현해야 하는 핵심 비즈니스 업무 영역을 말합니다.
나중에 web을 다른 기술로 바꾸어도 도메인은 그대로 유지할 수 있어야 합니다. 
web은 domain을 의존하지만 domain은 web에 의존하지 않도록 설계해야 함. 
따라서 패키지 구조를 잘 설계하는 것이 중요.

---

로그인 기능 만들기

홈 화면

HomeController에 추가 

@GetMapping("/")
public String home() {
    return "home";
}

home.html

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="utf-8">
    <link th:href="@{/css/bootstrap.min.css}"
          href="css/bootstrap.min.css" rel="stylesheet">
</head>
<body>
<div class="container" style="max-width: 600px">
    <div class="py-5 text-center">
        <h2>홈 화면</h2> </div>
    <div class="row">
        <div class="col">
            <button class="w-100 btn btn-secondary btn-lg" type="button"
                    th:onclick="|location.href='@{/members/add}'|">
                회원 가입
            </button>
        </div>
        <div class="col">
            <button class="w-100 btn btn-dark btn-lg"
                    onclick="location.href='items.html'"
                    th:onclick="|location.href='@{/login}'|" type="button">
                로그인
            </button>
        </div>
    </div>
    <hr class="my-4">
</div> <!-- /container -->
</body>
</html>

 회원가입 버튼 클릭 시 -> URI "localhost:8080/members/add" 로 이동 

로그인 버튼 클릭 시 -> URI "localhost:8080/login"로 이동

 

 

Domain - Member

@Data
public class Member {
    private Long id;

    @NotEmpty
    private String loginId;

    @NotEmpty
    private String name;

    @NotEmpty
    private String password;

    public Member(){}

    public Member(String loginId, String name, String password) {
        this.loginId = loginId;
        this.name = name;
        this.password = password;
    }
}

회원 가입, 로그인에 사용되는 객체입니다.

 

Domain - MemberRepository

@Slf4j
@Repository
public class MemberRepository {

    private static Map<Long, Member> store = new HashMap<>();
    private static long sequence = 0L;

    public Member save(Member member)
    {
        member.setId(++sequence);
        log.info("save : member = {}",member);
        store.put(member.getId(),member);
        return member;
    }

    public Member findById(Long id)
    {
        return store.get(id);
    }

    public Optional<Member> findByLoginId(String loginId)
    {
//        List<Member> members = findAll();
//        for (Member m : members) {
//            if(m.getLoginId() == loginId)
//            {
//                return Optional.of(m);
//            }
//        }
//        return Optional.empty();

        return findAll().stream()
                .filter(m -> m.getLoginId().equals(loginId))
                .findFirst();
    }

    public List<Member> findAll()
    {
        return new ArrayList<>(store.values());
    }

    public void clearStore()
    {
        store.clear();
    }

}

MemberRepository for member 저장.

(대개 인터페이스 레벨로 선언하고 구현체를 별도로 구현해서 쓰는 게 정석이긴 합니다 - 갈아끼우기 위해)

회원 가입 화면

@Controller
@RequiredArgsConstructor
@RequestMapping("/members")
public class MemberController {

    private final MemberRepository memberRepository;

    @GetMapping("/add")
    public String addForm(@ModelAttribute("member") Member member)
    {
        return "members/addMemberForm";
    }

• 회원 가입 버튼 시 -> /members/add로 이동 -> addMemberForm 뷰템플릿을 호출합니다.
• addMemberForm에서 th:object=${member}"를 사용하기 위해 @ModelAttribute Member member를 argument로 설정했습니다.
  
  • Model을 argument로 설정하고 model.addAttribute("member",member)로 모델에 객체를 담고 addMemberForm 뷰템플릿 호출하는 방식과 동일합니다.

@PostMapping("/add")
public String save(@Validated @ModelAttribute("member") Member member, BindingResult bindingResult)
{
    if(bindingResult.hasErrors())
    {
        return "members/addMemberForm";
    }
    memberRepository.save(member);
    return "redirect:/";
}

• addMemberForm에서 HTML From 입력을 통해 회원 정보를 입력받고 현재 URL에 Post 요청합니다. ( th:action에 별도의 URL을 지정하지 않으면 현재 URL에 Post 요청)
• HTML Form POST 전송을 통해 검증을 거쳐 @ModelAttribute Member member에 담고 검증 오류 발생 시 bindingResult에 오류를 담습니다. 
• bindingResult에 오류가 있을 경우 -> 등록 폼 요청
• bindingResult에 오류가 없을 경우 -> 저장소에 회원담고 home으로 리다이렉트

로그인 화면 

@GetMapping("/login")
public String loginForm(@ModelAttribute("loginForm") LoginForm loginForm)
{
    return "login/loginForm";
}

• 홈 화면에서 로그인 버튼 클릭 시 -> "localhost:8080/login" URL 요청  -> loginForm 뷰 템플릿 호출
• loginForm에서 th:object="${loginForm}" 사용을 하기 위해 모델에 담아주었습니다. 

@PostMapping("/login")
public String login(@Valid @ModelAttribute LoginForm loginForm, BindingResult bindingResult)
{
    if(bindingResult.hasErrors())
    {
        return "login/loginForm";
    }

    Member loginMember = loginService.login(loginForm.getLoginId(), loginForm.getPassword());

    // 실패
    if(loginMember == null)
    {
        bindingResult.reject("loginFail","아이디 또는 비밀번호가 일치하지 않습니다.");
        return "login/loginForm";
    }


    // 성공
    return "redirect:/";
}

 

• loginForm 뷰 템플릿의 HTML Form으로부터 Post된 데이터들을 @ModelAttribute loginForm에 담아 검증과정을 거친 후 오류가 있으면 bindingResult에 담습니다.   ( th:action에 별도의 URL을 지정하지 않으면 현재 URL에 Post 요청) 
• 이 때 마찬가지로 bindingResult에 오류가 담겨있으면 loginForm 뷰 템플릿을 다시 호출합니다.
  
  • 참고로 loginForm에서는 글로벌오류, 필드오류가 있을시 해당 오류에 대한 오류메시지를 출력하도록 설정했습니다.

Member loginMember = loginService.login(loginForm.getLoginId(), loginForm.getPassword());

• loginService에서 리포지토리를 통해 아이디를 찾고 패스워드까지 일치하면 해당 회원을 리턴하고,  그렇지 않은 경우 null 리턴
• 로그인 실패 시 글로벌 오류에 담아서 다시 loginForm 뷰 템플릿을 호출합니다.
• 로그인 성공 시 home으로 redirect합니다.

 

여기서 문제가 있습니다. 로그인을 성공하면 기대화면 처럼 로그인 정보가 나온 상태로 home으로 이동해야 하는데 요구사항을 만족하지 못하고 있습니다.

기대 / 결과 

로그인에 성공한 사용자는 홈 화면에 접근할 경우 로그인의 상태를 유지하면서 고객의 이름을 보여주게 하려면 어떻게 해야 할까요?

클라이언트가 로그인 정보를 담은 채로 애플리케이션을 이용하기 위해서는 쿠키나 세션이 필요합니다.

 

지금까지는 간단하게 폼과 컨트롤러를 이용해 로그인 컨트롤러를 구현만 해보았습니다.

이제 쿠키와 세션을 사용해서 로그인을 본격적으로 처리해보도록 하겠습니다.

---

쿠키를 사용해 로그인 처리 

쿠키를 사용하면 로그인 상태를 유지할 수 있습니다.

HTTP는 무상태 프로토콜입니다 / 클라이언트 - 서버가 요청과 응답을 주고받으면 연결이 끊어짐.

클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못하기 때문에, 모든 요청에 사용자 정보를 포함해야 합니다.

이 때 쿠키에 사용자 정보를 담아서 서버에 담아 전송한다면 로그인 상태를 유지할 수 있겠죠?

 

https://rlaehddnd0422.tistory.com/45#article-5--http---%EC%BF%A0%ED%82%A4-%ED%97%A4%EB%8D%94

HTTP 표현 헤더

❗️참고
쿠키에는 만료날짜를 입력하면 해당 날짜까지 유지되는 ( 웹브라우저를 닫아도 사라지지 않음) 영속 쿠키와,
브라우저 종료하기 전까지만 유지되는 세션 쿠키가 있습니다. 

---

로그인 성공 - 쿠키 생성

로그인 성공 시에 세션 쿠키를 생성해보겠습니다.

// 실패
if(loginMember == null)
{
    bindingResult.reject("loginFail","아이디 또는 비밀번호가 일치하지 않습니다.");
    return "login/loginForm";
}

// 쿠키 set
Cookie idCookie = new Cookie("memberId",String.valueOf(loginMember.getId()));
response.addCookie(idCookie);

// 성공
return "redirect:/";

로그인에 성공하면 쿠키를 생성하고 response 서블릿 객체에 담아서 보내주어야겠죠. 

쿠키 이름은 "memberId"로 설정했고, 값은 회원의 id를 담아두었습니다. 웹 브라우저는 종료 전까지 회원의 id를 서버에 계속 보내줄 것입니다.

 

로그인 후 확인해 보면

로그인 성공 후 HTTP 응답 헤더에 쿠키가 추가되었습니다.

HTTP 응답 헤더에 쿠키가 추가된 것을 볼 수 있습니다.

이제 요구사항에 맞추어 로그인에 성공하면 로그인 성공 홈 화면으로 이동하도록 설정해보겠습니다.

//    @GetMapping("/")
//    public String home() {
//        return "home";
//    }

    @GetMapping("/")
    public String homeLogin(@CookieValue(name="memberId", required=false) Long memberId, Model model)
    {
        if(memberId==null)
        {
            return "home";
        }
        Member loginMember = memberRepository.findById(memberId);
        if(loginMember == null)
        {
            return "home";
        }

        model.addAttribute("member",loginMember);
        return "loginHome";
    }

@CookieValue를 사용하면 편리하게 쿠키를 조회할 수 있습니다.

이제 홈 화면에서는 무조건적으로 home 뷰템플릿으로 이동하는 게 아니라 쿠키 정보를 바탕으로

• 로그인 쿠키(memberId) 가 있으면 memberId 기반의 로그인 사용자 전용 홈 화면인 loginForm으로 보내고 
• 로그인 쿠키가 없으면 home으로 보내도록 설정했습니다.
• loginForm에서 로그인 사용자 정보를 출력하기 모델에 member를 담아 호출

<h4 class="mb-3" th:text="|로그인: ${member.name}|">로그인 사용자 이름</h4>

...

 <div class="col">
            <button class="w-100 btn btn-secondary btn-lg" type="button"
                    th:onclick="|location.href='@{/items}'|">
                상품 관리
            </button>
        </div>
        <div class="col">
            <form th:action="@{/logout}" method="post">
                <button class="w-100 btn btn-dark btn-lg" type="submit">
                    로그아웃
                </button>
            </form>
        </div>

• loginForm에서 로그인 사용자 정보를 출력
• 상품관리 버튼 클릭 시 -> /items로 이동
• 로그아웃 버튼 클릭 시 -> /logout으로 Post 요청합니다.

로그아웃을 하면 로그인 정보를 삭제한 상태로 home화면으로 이동해야 합니다. 그렇게 하기 위해서는 쿠키를 삭제해야 합니다.

 

로그아웃 - 쿠키 삭제

@PostMapping("/logout")
public String logout(HttpServletResponse response)
{
    expireCookie(response,"memberId");
    return "redirect:/";
}

private void expireCookie(HttpServletResponse response, String cookieName) {
    Cookie cookie = new Cookie(cookieName, null);
    cookie.setMaxAge(0);
    response.addCookie(cookie);
}

response에는 쿠키를 삭제하는 메소드가 없기 때문에 이렇게 간접적으로 쿠키의 유효시간을 0으로 설정해서 쿠키를 삭제할 수 있습니다.

public void deleteCookie(HttpServletResponse res){
    Cookie cookie = new Cookie("삭제하고 싶은 쿠키 ID", null); // 삭제할 쿠키에 대한 값을 null로 지정
    cookie.setMaxAge(0); // 유효시간을 0으로 설정해서 바로 만료시킨다.
    res.addCookie(cookie); // 응답에 추가해서 없어지도록 함
}

https://blog.naver.com/PostView.nhn?blogId=adamdoha&logNo=222081530284 

[Java] 쿠키(Cookie) 생성, 조회, 삭제

---

쿠키 보안 문제

쿠키는 임의로 값을 변경할 수 있기 때문에 보안 상 좋은 방법이 아닙니다.

클라이언트가 쿠키를 강제로 변경하면 다른 사용자로 서버에 접근할 수 있습니다.

 

대안

• 쿠키에 중요한 값을 노출하지 않고, 사용자 별로 예측 불가능한 임의의 토큰을 노출하고, 서버에서 토큰과 사용자 id를 매핑해서 인식하는 방법 + 시간이 지나면 사용할 수 없도록 서버에서 해당 토큰의 만료시간을 짧게 유지. 

---

로그인 처리 - 세션 

세션 동작 방식

중요한 정보는 모두 서버에 저장하고, 클라이언트와 서버는 추정 불가능한 임의의 식별자를 통해 연결하는 방식을 세션이라고 합니다.

중요한 정보의 값을 직접 쿠키로 설정해두면 사용자가 값을 통해 서버에 접근할 수 있습니다.

로그인 전 

1. ID, PASSWORD를 통해 서버에 로그인 요청

2. 서버에서는 클라이언트의 ID, PASSWORD를 통해 리포지토리에서 회원 조회

3. 일치하는 멤버 리턴

4. UUID 기반 토큰을 하나 생성합니다. 세션에 Token - 멤버 저장

5. response에 Token을 쿠키에 담아서 클라이언트에 전송합니다.

 

로그인 이후

6. 받은 쿠키의 토큰을 기반으로 홈 디렉토리 GET 요청

+ 서버는 세션저장소의 토큰 기반으로 멤버를 리턴해서 클라이언트에 응답

 

이렇게 세션을 사용해 중요한 정보를 서버에서 관리하고 예측 불가능한 토큰 값을 쿠키로 설정해 클라이언트는 쿠키값을 예측해서 설정해서 서버에 요청할 수 없도록 설정해 보안을 강화할 수 있습니다.

 

세션을 직접 개발해본 후, 스프링이 지원하는 세션을 사용해보도록 하겠습니다.

세션 직접 개발

SessionManager에 세션 생성, 조회, 삭제 구현 

public static final String SESSION_COOKIE_NAME = "mySessionId";

// key - uuid , value - 객체
private Map<String, Object> sessionStore = new ConcurrentHashMap<>();

 

세션 생성

private Map<String, Object> sessionStore = new ConcurrentHashMap<>();

// 세선 생성
public void createSession(Object value, HttpServletResponse response)
{
    String sessionId = UUID.randomUUID().toString();
    sessionStore.put(sessionId,value);
    Cookie mySessionCookie = new Cookie(SESSION_COOKIE_NAME, sessionId);
    response.addCookie(mySessionCookie);
}

• 세션을 직접 개발하기 위해 Map을 사용했습니다. 
• 생성할 때에는 UUID를 하나 만들어 토큰으로 설정해서 세션 저장소에 넣어주었습니다.
• 생성한 토큰을 쿠키로 설정해서 response에 추가해주었습니다.

세션 조회

// 세션 조회
public Object getSession(HttpServletRequest request)
{
    Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
    if(sessionCookie==null)
    {
        return null;
    }
    return sessionStore.get(sessionCookie.getValue());
}

private Cookie findCookie(HttpServletRequest request, String cookieName)
{
    if(request.getCookies()==null)
    {
        return null;
    }
    return Arrays.stream(request.getCookies())
            .filter(c -> c.getName().equals(cookieName))
            .findAny()
            .orElse(null);
}

• request에서 쿠키가 없으면 null 리턴
• request에 cookieName의 쿠기가 있으면 세션 저장소에서 토큰에 매칭된 회원 리턴, 없으면 null 리턴

세션 만료

// 세션 만료
public void expire(HttpServletRequest request)
{
    Cookie sessionCookie = findCookie(request,SESSION_COOKIE_NAME);
    if(sessionCookie!=null)
    {
        sessionStore.remove(sessionCookie.getValue());
    }
}

• request에서 세션을 조회해 해당 세션있으면 세션 저장맵에서 삭제

 

컨트롤러에 적용

@PostMapping("/login")
public String loginV2(@Valid @ModelAttribute LoginForm loginForm, BindingResult bindingResult,
                      HttpServletResponse response)
{
    if(bindingResult.hasErrors())
    {
        return "login/loginForm";
    }

    Member loginMember = loginService.login(loginForm.getLoginId(),loginForm.getPassword());

    // 실패
    if(loginMember == null)
    {
        bindingResult.reject("loginFail","아이디 또는 비밀번호가 일치하지 않습니다.");
        return "login/loginForm";
    }

    // 세션관리자를 통해 세션생성 -> 회원데이터 보관
    sessionManager.createSession(loginMember,response);

    // 성공
    return "redirect:/";
}

• private final SessionManager sessionManager; - 의존관계 주입 
• sessionManager.createSession(loginMember, response);
  • 로그인 성공시 세션을 등록합니다. 세션에 loginMember 를 저장해두고, 쿠키(토큰, loginMember)도 발행.

HomeController 변경 - 로그인 후 화면

@GetMapping("/")
public String homeLoginV2(HttpServletRequest request, Model model)
{
    // 세션관리자에 저장된 회원 정보 조회
    Member member = (Member) sessionManager.getSession(request);
    if(member == null)
    {
        return "home";
    }

    model.addAttribute("member",member);
    return "loginHome";
}

• 홈으로 리다이렉트해서 Get 요청시 세션관리자에 저장된 회원 정보를 조회해 리턴받은 Object를 타입을 멤버로 변환해준 후 
• 해당 멤버가 없으면 home 뷰템플릿 호출하고
• 해당 멤버가 있으면 model에 해당 멤버를 담고 loginHome을 호출합니다.

@PostMapping("/logout")
public String logoutV2(HttpServletRequest request)
{
    sessionManager.expire(request);
    return "redirect:/";
}

// 세션 만료
public void expire(HttpServletRequest request)
{
    Cookie sessionCookie = findCookie(request,SESSION_COOKIE_NAME);
    if(sessionCookie!=null)
    {
        sessionStore.remove(sessionCookie.getValue());
    }
}

• loginHome에서 로그아웃 버튼 클릭하면 /logout URL 요청 ▶︎ request에서 SESSION_COOKIE_NAME("mySessionId")의 쿠키를 찾고 맵에서 삭제합니다.
• 삭제가 완료되면 홈으로 리다이렉트합니다.

---

로그인 처리 - 서블릿 HTTP 세션

이렇게 직접 세션을 구현해보았는데, 사실 세션이라는 것도 결국 쿠키를 사용해 서버에서 데이터를 유지하는 방법입니다.

프로젝트마다 이렇게 세션 개념을 개발하는 것도 상당히 불편할 것입니다. 그래서 서블릿도 세션개념을 제공하는데 서블릿이 제공하는 세션을 사용해보도록 하겠습니다. 동작 방식은 이전과 거의 동일합니다.

 

서블릿이 제공하는 HttpSession은 세션을 생성, 조회, 삭제 역할을 합니다.

즉, 직접 개발할 때 사용한 sessionManager의 역할을 HttpSession으로 대신할 수 있습니다.

 

login 요청 컨트롤러

@PostMapping("/login")
public String loginV3(@Valid @ModelAttribute LoginForm loginForm, BindingResult bindingResult,
                      HttpServletRequest request)
{
    // Field, 타입 오류 검증
    if(bindingResult.hasErrors())
    {
        return "login/loginForm";
    }

    Member loginMember = loginService.login(loginForm.getLoginId(),loginForm.getPassword());

    // 실패
    if(loginMember == null)
    {
        bindingResult.reject("loginFail","아이디 또는 비밀번호가 일치하지 않습니다.");
        return "login/loginForm";
    }


    // 성공처리
    // 세션이 있으면 있는 세션 반환, 없으면 신규 세션 생성
    HttpSession session = request.getSession(true);

    // 세션에 로그인 회원 정보 보관
    session.setAttribute(SessionConst.LOGIN_MEMBER,loginMember);

    return "redirect:/";
}

// 세션관리자를 통해 세션생성 -> 회원데이터 보관
sessionManager.createSession(loginMember,response);

이 전에 사용하던 sessionmanager의 역할을 HttpSession을 통해 처리합니다.

// 성공처리
// 세션이 있으면 있는 세션 반환, 없으면 신규 세션 생성

HttpSession session = request.getSession(true);

// 세션에 로그인 회원 정보 보관
session.setAttribute(SessionConst.LOGIN_MEMBER,loginMember);

• request에 세션이 있으면 기존 세션 리턴, 없으면 생성해서 리턴 (true)
  • false일 경우 세션이 있으면 기존 세션 리턴, 없으면 null 반환
• 세션에 로그인 회원 정보를 setAttribute를 통해 보관하고 홈으로 리다이렉트합니다.
  • 여기서 Session.LOGIN_MEMBER는 HttpSession에 세션을 보관하고 조회할 때 같은 이름이 중복되어 사용되므로, 상수를 "loginMember"로 정의했습니다.

로그인 후 화면 

@GetMapping("/")
public String homeLoginV3(HttpServletRequest request, Model model)
{
    HttpSession session = request.getSession(false);
    if(session==null)
    {
        return "home";
    }

    // 세션관리자에 저장된 회원 정보 조회
    Member loginMember = (Member) session.getAttribute(SessionConst.LOGIN_MEMBER);

    // 세션에 회원 데이터가 없으면 home으로 이동
    if(loginMember==null)
    {
        return "home";
    }

    // 세션이 유지되면 로그인으로 이동

    model.addAttribute("member",loginMember);
    return "loginHome";
}

• 로그인 시점의 request에서 세션을 찾고 세션이 없으면 home 뷰템플릿으로 이동합니다.
• 세션이 있으면 로그인 시점에 세션에 보관한 회원 객체를 찾습니다. 
• 세션 관리자에 저장된 회원 정보를 조회해 해당 회원 데이터가 없으면 home으로 이동합니다.
• 세션이 유지되면 loginHome으로 이동합니다.

로그아웃 시

@PostMapping("/logout")
public String logoutV3(HttpServletRequest request)
{
   HttpSession session = request.getSession(false);
   if(session!=null)
   {
       session.invalidate(); // 세션 삭제
   }
   return "redirect:/";
}

• false옵션을 통해 세션이 있는경우 리턴, 없으면 null 리턴 ( 생성하지 않음 )
• session이 존재하면 invalidate()를 통해 세션을 삭제하고 홈 화면으로 리다이렉트합니다.

이렇게 간단하게 HttpSession을 이용해 직접 개발한 세션을 대체해보았습니다.

스프링은 여기서 더 나아가 세션을 더 편리하게 사용할 수 있도록 @SessionAttribute를 지원합니다.

 

@GetMapping("/")
public String homeLoginV3Spring(@SessionAttribute(name=SessionConst.LOGIN_MEMBER, required=false)
                                    Member loginMember, Model model)
{
    // 세션에 회원 데이터가 없으면 home으로 이동
    if(loginMember==null)
    {
        return "home";
    }

    // 세션이 유지되면 로그인으로 이동

    model.addAttribute("member",loginMember);
    return "loginHome";
}

@SessionAttribute를 통해 이미 로그인 된 사용자를 찾을 수 있습니다.

세션을 찾고, 세션에 들어있는 데이터를 찾는 번거로운 과정을 스프링이 한번에 편리하게 처리해 줄 수 있습니다.

 

HtttpSession을 사용한 컨트롤러로 처음 로그인을 시도하면 로그인 후 화면에
http://localhost:8080/;jsessionid=F59911518B921DF62D09F0DF8F83F872 처럼 jessionid를 포함하고 있는 것을 확인할 수 있습니다. 이럴때 application.properties에 server.servlet.session.tracking-modes=cookie를 추가하면 URL 전달 방식 사용을 해제할 수 있습니다.

 

세션 타임아웃 설정 및 세션 정보 확인

@GetMapping("/session-info")
public String sessionInfo(HttpServletRequest request)
{
    HttpSession session = request.getSession(false);
    if(session==null)
    {
        return "세션이 없습니다.";
    }

    session.getAttributeNames().asIterator()
            .forEachRemaining(name -> log.info("session name = {}, value = {}",name,session.getAttribute(name)));

    log.info("sessionId={}", session.getId());
    log.info("maxInactiveInterval={}", session.getMaxInactiveInterval());
    log.info("creationTime={}", new Date(session.getCreationTime()));
    log.info("lastAccessedTime={}", new Date(session.getLastAccessedTime()));
    log.info("isNew={}", session.isNew());
    return "세션 출력";
}

세션의 유효기간은 application.properties에 server.servlet.session.timeout=60 ( 초 단위 )와 같이 글로벌하게 설정할 수도 있고,

setMaxInactiveInterval을 통해 세션 단위로 유효기간을 설정할 수도 있습니다. 갱신시간을 기반으로 유효기간이 지나면 삭제됩니다.

session은 lastAccessdTime을 기반으로 유효기간이 갱신됩니다.

<정리>

• 지금까지 로그인 기능 구현부터 쿠키를 통한 처리, 세션을 통한 처리를 구현, 서블릿이 제공하는 HttpSession을 사용한 로그인 처리까지 해보았습니다.
• 서블릿의 HttpSession이 제공하는 타임 아웃 기능 덕분에 세션을 안전하고 편리하게 관리할 수 있습니다.
• 실무에서 주의할점은 세션에는 최소한의 데이터만 보관 *메모리 사용량 초과로 서버 장애로 이어질 수 있기 때문입니다.

<참고자료>

https://www.inflearn.com/course/%EC%8A%A4%ED%94%84%EB%A7%81-mvc-2/dashboard

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 - 인프런 | 강의