Ch06. 로그인 처리(쿠키, 세션) - 로그인 처리하기

세션 동작 방식

• 앞서 쿠키에는 여러 보안 이슈가 있었다. 이 문제를 해결하기 위해서는 중요한 정보는 모두 서버에 저장해야 한다.
• 클라이언트와 서버는 추정 불가능한 임의의 식별자 값으로 연결해야 한다.
• 이렇게 서버에 중요한 정보를 보관하고 연결을 유지하는 방법을 세션이라고 한다.

세션 ID를 서버에서 클라이언트로 준다.

• 클라이언트와 서버는 결국 쿠키로 연결되어야 한다.
  • 서버는 클라이언트에 mySessionId라는 이름으로 세션 ID 만 쿠키에 담아서 전달한다.
  • 클라이언트는 쿠키 저장소에 mySessionId 쿠키를 보관한다
• 클라이언트는 요청 시 항상 mySessionId 쿠키를 전달한다.
• 서버에서는 클라이언트가 전달한 mySessionId 쿠키 정보로 세션 저장소를 조회해서 로그인 시 보관한 세션 정보를 사용한다.
• 정리
  • 쿠키 값을 변조 가능 -> 예상 불가능한 복잡한 세션 Id를 사용한다.
  • 쿠키에 보관하는 정보는 클라이언트 해킹 시 털릴 가능성이 있다. -> 세션 Id가 털려도 여기에는 중요한 정보가 없다.
  • 쿠키 탈취 후 사용 -> 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 세션의 만료시간을 짧게(예: 30분) 유지한다. 또는 해킹이 의심되는 경우 서버에서 해당 세션을 강제로 제거하면 된다

직접 세션 만들기

• 세션 관리는 크게 다음 3가지 기능을 제공하면 된다.
• 세션 생성
  • SessionId 생성(임의의 추정 불가능한 랜덤 값)
  • 세션 저장소에 sessionId와 보관할 값 저장
  • sessionId로 응답 쿠키를 생성해서 클라이언트에 전달
• 세션 조회
  • 클라이언트가 요청한 sessionId 쿠키의 값으로, 세션 저장소에 보관한 값 조회
• 세션 만료
  • 클라이언트가 요청한 sessionId 쿠키의 값으로, 세션 저장소에 보관한 sessionId와 값 제거

SessionManager

/**
 * 세션 관리
 */
@Component
public class SessionManager {

    public static final String SESSION_COOKIE_NAME = "mySessionId";
    private Map<String, Object> sessionStore = new ConcurrentHashMap<>();// 동시성 제어 Map

    /**
     * 세션 생성
     * sessionId 생성 (임의의 추정 불가능한 랜덤 값)
     * 세션 저장소에 sessionId와 보관할 값 저장
     * sessionId로 응답 쿠키를 생성해서 클라이언트에 전달
     */
    public void createSession(Object value, HttpServletResponse response){
        //세션 ID를 생성하고, 값을 세션에 저장
        String sessionId = UUID.randomUUID().toString();
        sessionStore.put(sessionId, value);

        //쿠키 생성
        Cookie mySessionCookie = new Cookie(SESSION_COOKIE_NAME, sessionId);
        response.addCookie(mySessionCookie);
    }

    /**
     * 세션 조회
     */
    public Object getSession(HttpServletRequest request){
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
        if(sessionCookie == null) {
            return null;
        }
        return sessionStore.get(sessionCookie.getValue());
    }

    public Cookie findCookie(HttpServletRequest request, String cookieName){
        Cookie[] cookies = request.getCookies();
        if(cookies == null){
            return null;
        }
        return Arrays.stream(cookies)
            .filter(cookie -> cookie.getName().equals(cookieName))
            .findFirst().orElse(null);
    }

    /**
     * 세션 만료
     */
    public void expire(HttpServletRequest request){
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
        if(sessionCookie != null){
            sessionStore.remove(sessionCookie.getValue());
        }
    }
}

• TestHttpServletRequest , HttpservletResponse 객체를 직접 사용할 수 없기 때문에 테스트에서 비슷한 역할을 해주는 가짜 MockHttpServletRequest , MockHttpServletResponse를 사용

직접 만든 세션 적용

LoginControllerV2 -  Login

private final SessionManager sessionManager;

@PostMapping("/login")
public String loginV2(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult, HttpServletResponse response){
    if(bindingResult.hasErrors()){
        return "login/loginForm";
    }
    Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
    if(loginMember == null){
        bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
        return "login/loginForm";
    }
    //로그인 성공 처리 TODO
    //세션 관리자를 통해 세션을 생성하고, 회원 데이터 보관
    sessionManager.createSession(loginMember, response);

    return "redirect:/";
}

• SessionManager를 통해서 세션을 생성하고, Member를 저장한다.

LoginControllerV2 -  Logout

@PostMapping("/logout")
public String logoutV2(HttpServletRequest request){
    sessionManager.expire(request);
    return "redirect:/";
}

• SessionManager에 세션을 제거한다.

HomeLoginV2

@GetMapping("/")
public String homeLoginV2(HttpServletRequest request, Model model) {
    //세션 관리자에 저장된 회원 정보 조회
    Member member = (Member) sessionManager.getSession(request);

    //로그인
    if(member == null){
        return "home";
    }
    model.addAttribute("member", member);
    return "loginHome";
}

• 세션 관리자에서 저장된 회원 정보를 조회한다. 만약 회원 정보가 없으면, 쿠키나 세션이 없는 것이므로 로그인되지 않은 것으로 처리한다
• 사실 세션이라는 것이 뭔가 특별한 것이 아니라 단지 쿠키를 사용하는데, 서버에서 데이터를 유지하는 방법일 뿐이라는 것을 이해했을 것이다.
• 프로젝트마다 이러한 세션 개념을 직접 개발하는 것은 상당히 불편할 것이다. 그래서 서블릿도 세션 개념을 지원한다.
• 서블릿이 공식 지원하는 세션은 우리가 직접 만든 세션과 동작 방식이 거의 같다. 추가로 세션을 일정 시간 사용하지 않으면 해당 세션을 삭제하는 기능을 제공한다.

로그인 처리하기 - 서블릿 HTTP 세션

서블릿이 제공하는 HttpSession 도 결국 우리가 직접 만든 SessionManager와 같은 방식으로 동작한다. 서블릿을 통해 HttpSession을 생성하면 다음과 같은 쿠키를 생성한다. 쿠키 이름이 JSESSIONID이고, 값은 추정 불가능한 랜덤 값이다.

LoginControllerV3 -  Login

 @PostMapping("/login")
public String loginV3(@Valid @ModelAttribute LoginForm form, BindingResult bindingResult, HttpServletRequest request){
    if(bindingResult.hasErrors()){
        return "login/loginForm";
    }
    Member loginMember = loginService.login(form.getLoginId(), form.getPassword());
    if(loginMember == null){
        bindingResult.reject("loginFail", "아이디 또는 비밀번호가 맞지 않습니다.");
        return "login/loginForm";
    }
    //로그인 성공 처리 TODO
    //세션이 있으면 있는 세션 반환, 없으면 신규 세션을 생성
    HttpSession session = request.getSession(true); 
    //디폴트 = true, 세션이 있으면 기존 세션을 반환, 없으면 새로운 세션을 생성해서 반환
    //      = false, 세션이 있으면 기존 세션을 반환, 없으면 새로운 세션을 생성하지 않는다
    //세션을 로그인 회원 정보 보관
    session.setAttribute(SessionConst.LOGIN_MEMBER, loginMember);

    return "redirect:/";
}

• 세션을 생성하려면 request.getSession(true)를 사용하면 된다.
  • true : 세션이 있으면 기존 세션 반환, 없으면 세션을 생성해서 반환한다.
  • false : 세션이 있으면 기존 세션 반환, 없으면 세션을 생성하지 않는다.(null 반환)
• 세션에 로그인 회원 정보 보관
  
  • session.setAttribute();

 

 

LoginControllerV3 -  Logout

@PostMapping("/logout")
public String logoutV3(HttpServletRequest request){
    HttpSession session = request.getSession(false); //없더라도 만들지 않게 한다.
    if(session != null){
        session.invalidate(); //세션 날리기
    }
    
    return "redirect:/";
}

• invalidate()로 세션을 삭제한다

HomeLoginV3

@GetMapping("/")
public String homeLoginV3(HttpServletRequest request, Model model) {

    HttpSession session = request.getSession(false); //반드시 세션을 만들 필요 X
    if(session == null){
        return "home";
    }
    Member loginMember = (Member)session.getAttribute(SessionConst.LOGIN_MEMBER);

    //세션에 회원 데이터가 없으면 Home
    if(loginMember == null){
        return "home";
    }
    //세션이 유지되면 로그인으로 이동
    model.addAttribute("member", loginMember);
    return "loginHome";
}

• request.getSession()를 사용하면 기본 값이 create: true 이므로, 로그인하지 않을 사용자도 의미 없는 세션이 만들어진다. 따라서 세션을 찾아서 사용하는 시점에는 create: false 옵션을 사용해서 세션을 생성하지 않아야 한다.
• session.getAttribute(SessionConst.LOGIN_MEMBER) : 로그인 시점에 세션에 보관한 회원 객체를 찾는다

HomeLoginV3 Spring

@GetMapping("/")
public String homeLoginV3Spring(@SessionAttribute(name = SessionConst.LOGIN_MEMBER, required = false) Member member, Model model) {

    //세션에 회원 데이터가 없으면 Home
    if(member == null){
        return "home";
    }
    //세션이 유지되면 로그인으로 이동
    model.addAttribute("member", member);
    return "loginHome";
}

• Spring은 세션을 더 편리하게 사용할 수 있도록 @SessionAttribute를 지원한다.
• 이미 로그인된 사용자를 찾을 때는 @SessionAttribute(name= ~~, required= false) Member member를 사용하면 된다.
• 세션을 찾고, 세션에 들어있는 데이터를 찾는 번거로운 과정을 스프링이 한 번에 편리하게 처리해주는 것을 확인할 수 있다.
• TrackingModes
  • 로그인을 처음 시도하면 URL에 JSessionId를 포함하고 있다.
  • http://localhost:8080/;jsessionid=F59911518B921DF62D09F0DF8F83F872
  • 웹 브라우저가 쿠키를 지원하지 않을 때 쿠키 대신 URL을 통해서 세션을 유지하는 방법이다.
  • 이 방법을 사용하려면 URL에 이 값을 계속 포함해서 전달해야 한다.
  • 타임리프 같은 템플릿은 엔진을 통해서 링크를 걸면 jsessionid를 URL에 자동으로 포함해준다.
  • 서버 입장에서 웹 브라우저가 쿠키를 지원하는지 하지 않는지 최초에는 판단하지 못하므로, 쿠키 값도 전달하고, URL에 jsessionid 도 함께 전달한다
  • server.servlet.session.tracking-modes=cookie
    • 해당 옵션을 설정하게 되면 더 이상 JSessionId가 URL에 표기되지 않는다.