[스프링 MVC 2편] 로그인 처리1 - 쿠키, 세션
포스트
취소

[스프링 MVC 2편] 로그인 처리1 - 쿠키, 세션

게시 2025/01/30
By Sangwon Lee
24 분읽는 시간

로그인 요구사항

  • 화면 - 로그인 전
    • 회원 가입
    • 로그인
  • 홈 화면 - 로그인 후
    • 본인 이름(누구님 환영합니다.)
    • 상품 관리
    • 로그 아웃
  • 보안 요구사항
    • 로그인 사용자만 상품에 접근하고, 관리할 수 있음
    • 로그인 하지 않은 사용자가 상품 관리에 접근하면 로그인 화면으로 이동
  • 회원 가입, 상품 관리

프로젝트 생성

  • 스프링 이니셜라이저를 통해 프로젝트를 생성하자.
    • 프로젝트 선택
      • Project
        • Gradle - Groovy Project
      • Language
        • Java
      • Spring Boot
        • 3.x.x
    • Project Metadata
      • Group
        • hello
      • Artifact
        • login
      • Name
        • login
      • Package name
        • hello.login
      • Packaging
        • Jar (주의!)
      • Java
        • 17 또는 21
    • Dependencies
      • Spring Web
      • Thymeleaf
      • Lombok
      • Validation

패키지 구조 설계

  • hello.login
    • domain
      • item
      • member
      • login
    • web
      • item
      • member
      • login

도메인이 가장 중요하다.

  • 도메인은 화면, UI, 기술 인프라 등등의 영역은 제외한 시스템이 구현해야 하는 핵심 비즈니스 업무 영역을 말한다.
  • 향후 web을 다른 기술로 바꾸어도 도메인은 그대로 유지할 수 있어야 한다.
  • 이렇게 하려면 web은 domain을 알고있지만 domain은 web을 모르도록 설계해야 한다.
    • 이것을 web은 domain을 의존하지만, domain은 web을 의존하지 않는다고 표현한다.
    • 예를 들어 web 패키지를 모두 삭제해도 domain에는 전혀 영향이 없도록 의존관계를 설계하는 것이 중요하다.
    • 반대로 이야기하면 domain은 web을 참조하면 안된다.

로그인 기능

  • 현실의 로그인은 굉장히 복잡할 것이다.
    • 회원 정보 가져오고, 읽지 않은 알림 가져오는 등…
  • 하지만 그런 부가 과정을 생략해보면 로그인 자체는 단순하다.
  • 아이디와 비밀번호를 통해 회원 정보를 가져와서 해당하는 데이터가 있으면 세션에 해당 데이터를 설정해주면 된다.

로그인 처리하기 - 쿠키 사용

로그인 상태 유지하기

  • 로그인의 상태를 어떻게 유지할 수 있을까?
  • 쿼리 파라미터를 계속 유지하면서 보내는 것은 매우 어렵고 번거로운 작업이다.
    • 이럴 때는 쿠키를 사용하면 쉽게 해결할 수 있다.
  • 서버에서 로그인에 성공하면 HTTP 응답에 쿠키를 담아서 브라우저에 전달하자.
    • 그러면 브라우저는 앞으로 해당 쿠키를 지속해서 보내준다.

쿠키의 종류

  • 영속 쿠키
    • 만료 날짜를 입력하면 해당 날짜까지 유지
  • 세션 쿠키
    • 만료 날짜를 생략하면 브라우저 종료시까지만 유지

그러면 우리는 어떤 쿠키가 필요할까?

  • 브라우저 종료시 로그아웃이 되길 기대하므로, 우리에게 필요한 것은 세션 쿠키이다

로그인 성공 시 쿠키 설정하기

  • 쿠키를 생성해서 HttpServletResponse에 설정하자.
  • 쿠키에 시간 정보를 주지 않이면 해당 쿠키는 세션 쿠키로 생성된다.
    • 브라우저 종료시 자동으로 제거된다.
//세션 쿠키 생성
Cookie idCookie = new Cookie("memberId", String.valueOf(loginMember.getId()));
response.addCookie(idCookie);
  • 설정한 쿠키는 컨트롤러에서 @CookieValue(name = "memberId", required = false) Long memberId처럼 사용할 수 있다.

로그아웃 기능

  • 로그아웃은 다음과 같이 진행하면 된다.
    • 세션 쿠키이므로 웹 브라우저 종료시 서버에서 해당 쿠키의 종료 날짜를 0으로 지정한다.
@PostMapping("/logout")
public String logout(HttpServletResponse response) {
    expireCookie(response, "memberId");
    return "redirect:/";
}

//쿠키 만료시키기
private void expireCookie(HttpServletResponse response, String cookieName) {
    Cookie cookie = new Cookie(cookieName, null);
    cookie.setMaxAge(0);
    response.addCookie(cookie);
}

쿠키와 보안 문제

  • 쿠키를 사용해서 로그인 정보를 유지할 수 있었지만, 여기에는 심각한 보안 문제가 있다.

보안 문제

  • 쿠키 값은 임의로 변경할 수 있다.
    • 클라이언트가 쿠키를 강제로 변경하면 다른 사용자가 된다.
    • 실제 웹브라우저 개발자모드 => Application => Cookie 변경으로 확인
    • Cookie: memberId=1 => Cookie: memberId=2 (다른 사용자의 이름이 보임)
  • 쿠키에 보관된 정보는 훔쳐갈 수 있다.
    • 만약 쿠키에 개인정보나, 신용카드 정보가 있다면?
    • 이 정보가 웹 브라우저에도 보관되고, 네트워크 요청마다 계속 클라이언트에서 서버로 전달된다.
    • 쿠키의 정보가 나의 로컬 PC에서 털릴 수도 있고, 네트워크 전송 구간에서 털릴 수도 있다.
  • 해커가 쿠키를 한번 훔쳐가면 평생 사용할 수 있다.
    • 해커가 쿠키를 훔쳐가서 그 쿠키로 악의적인 요청을 계속 시도할 수 있다.

대안

  • 쿠키에 중요한 값을 노출하지 않는다.
  • 사용자 별로 예측 불가능한 임의의 토큰(랜덤 값)을 노출하고, 서버에서 토큰과 사용자 id를 매핑해서 인식한다.
  • 서버에서 토큰을 관리한다.
  • 토큰은 해커가 임의의 값을 넣어도 찾을 수 없도록 예상 불가능 해야 한다.
  • 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 해당 토큰의 만료시간을 짧게(예: 30분) 유지한다.
  • 해킹이 의심되는 경우 서버에서 해당 토큰을 강제로 제거하면 된다.

로그인 처리하기 - 세션 동작 방식

  • 쿠키에 중요한 정보를 보관하는 방법은 여러가지 보안 이슈가 있었다.
    • 이 문제를 해결하려면 결국 중요한 정보를 모두 서버에 저장해야 한다.
    • 그리고 클라이언트와 서버는 추정 불가능한 임의의 식별자 값으로 연결해야 한다.
  • 이렇게 서버에 중요한 정보를 보관하고 연결을 유지하는 방법을 세션이라 한다.

세션 동작 원리

  1. 사용자가 아이디와 패스워드를 통해 로그인을 시도한다.
  2. 해당하는 사용자 정보가 존재한다면 서버는 세션 ID를 생성한다.
    • 세션 ID는 추정불가능해야 하기 때문에 UUID로 생성한다.
    • 예시 : Cookie: mySessionId=zz0101xx-bab9-4b92-9b32-dadb280f4b61
  3. 서버는 생성된 세션 ID와 세션에 보관할 값을 서버의 세션 저장소에 보관한다.
    • 이 때 세션에 보관할 값은 로그인한 유저의 회원 정보를 가리킨다.
  4. 서버가 사용자에게 세션 ID를 쿠키로 전달한다.
  5. 사용자의 웹 브라우저는 서버로부터 전달받은 세션 ID 쿠리를 쿠키 저장소에 저장한다.
    • 보통 JSESSIONID라는 이름으로 저장된다.
  6. 추후 로그인한 사용자가 서버에 접근하면 보유하고 있는 쿠키를 통해 세션 저장소에서 값을 조회한다.

로그인 처리하기 - 세션 직접 만들기

세션의 주요 기능

  • 세션 생성
    • sessionId 생성 (임의의 추정 불가능한 랜덤 값)
    • 세션 저장소에 sessionId와 보관할 값 저장
    • sessionId로 응답 쿠키를 생성해서 클라이언트에 전달
  • 세션 조회
    • 클라이언트가 요청한 sessionId 쿠키의 값으로, 세션 저장소에 보관한 값 조회
  • 세션 만료
    • 클라이언트가 요청한 sessionId 쿠키의 값으로, 세션 저장소에 보관한 sessionId와 값 제거

세션 관리자를 만들어보자.

package hello.login.web.session;

import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;

import java.util.Arrays;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.ConcurrentHashMap;

/**
 * 세션 관리
 */
@Component
public class SessionManager {
    public static final String SESSION_COOKIE_NAME = "mySessionId";
    private Map<String, Object> sessionStore = new ConcurrentHashMap<>();

    /**
     * 세션 생성
     */
    public void createSession(Object value, HttpServletResponse response) {
        //세션 id를 생성하고, 값을 세션에 저장
        String sessionId = UUID.randomUUID().toString();
        sessionStore.put(sessionId, value);
        //쿠키 생성
        Cookie mySessionCookie = new Cookie(SESSION_COOKIE_NAME, sessionId);
        response.addCookie(mySessionCookie);
    }

    /**
     * 세션 조회
     */
    public Object getSession(HttpServletRequest request) {
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
        if (sessionCookie == null) {
            return null;
        }
        return sessionStore.get(sessionCookie.getValue());
    }

    /**
     * 세션 만료
     */
    public void expire(HttpServletRequest request) {
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
        if (sessionCookie != null) {
            sessionStore.remove(sessionCookie.getValue());
        }
    }

    private Cookie findCookie(HttpServletRequest request, String cookieName) {
        if (request.getCookies() == null) {
            return null;
        }
        return Arrays.stream(request.getCookies())
                .filter(cookie -> cookie.getName().equals(cookieName))
                .findAny()
                .orElse(null);
    }
}

테스트

package hello.login.web.session;

import hello.login.domain.member.Member;
import org.junit.jupiter.api.Test;
import org.springframework.mock.web.MockHttpServletRequest;
import org.springframework.mock.web.MockHttpServletResponse;
import static org.assertj.core.api.Assertions.assertThat;

class SessionManagerTest {
    SessionManager sessionManager = new SessionManager();

    @Test
    void sessionTest() {
        //세션 생성
        MockHttpServletResponse response = new MockHttpServletResponse();
        Member member = new Member();
        sessionManager.createSession(member, response);

        //요청에 응답 쿠키 저장
        MockHttpServletRequest request = new MockHttpServletRequest();
        request.setCookies(response.getCookies());

        //세션 조회
        Object result = sessionManager.getSession(request);
        assertThat(result).isEqualTo(member);

        //세션 만료
        sessionManager.expire(request);
        Object expired = sessionManager.getSession(request);
        assertThat(expired).isNull();
    }
}

로그인 처리하기 - 직접 만든 세션 적용

로그인에 적용

  • private final SessionManager sessionManager;를 선언 후 사용해보자.
//세션 관리자를 통해 세션을 생성하고, 회원 데이터 보관
sessionManager.createSession(loginMember, response);

로그아웃에 적용

sessionManager.expire(request);

홈에 적용

@GetMapping("/")
public String homeLoginV2(HttpServletRequest request, Model model) {
    //세션 관리자에 저장된 회원 정보 조회
    Member member = (Member) sessionManager.getSession(request);
    if (member == null) {
        return "home";
    }
    //로그인
    model.addAttribute("member", member);
    return "loginHome";
}

세션이 쿠키와 다른 특별한 기술은 아니다.

  • 사실 세션이라는 것이 뭔가 특별한것이 아니라 단지 쿠키를 사용하는데, 서버에서 데이터를 유지하는 방법일 뿐이다.
  • 그런데 프로젝트마다 이러한 세션 개념을 직접 개발하는 것은 상당히 불편할 것이다. 그래서 서블릿도 세션 개념을 지원한다.
  • 이제 직접 만드는 세션 말고, 서블릿이 공식 지원하는 세션을 알아보자.
    • 서블릿이 공식 지원하는 세션은 우리가 직접 만든 세션과 동작 방식이 거의 같다.
    • 추가로 세션을 일정시간 사용하지 않으면 해당 세션을 삭제하는 기능을 제공한다.

로그인 처리하기 - 서블릿 HTTP 세션1

  • 세션이라는 개념은 대부분의 웹 애플리케이션에 필요한 것이다.
  • 서블릿은 세션을 위해 HttpSession이라는 기능을 제공하는데, 지금까지 나온 문제들을 해결해준다.

HttpSession 소개

  • 서블릿이 제공하는 HttpSession도 결국 우리가 직접 만든 SessionManager와 같은 방식으로 동작한다.
  • 서블릿을 통해 HttpSession을 생성하면 다음과 같은 쿠키를 생성한다.
    • 쿠키 이름은 JSESSIONID으로 생성된다.
    • 값은 추정 불가능한 랜덤 값이다.
    • 예시 : Cookie: JSESSIONID=5B78E23B513F50164D6FDD8C97B0AD05

로그인에 적용

//세션이 있으면 있는 세션 반환, 없으면 신규 세션 생성
HttpSession session = request.getSession();
//세션에 로그인 회원 정보 보관
session.setAttribute("loginMember", loginMember);

로그아웃에 적용

//세션을 삭제한다.
HttpSession session = request.getSession(false);
if (session != null) {
    session.invalidate();
}

홈에 적용

  • request.getSession(false)
    • request.getSession()을 사용하면 기본 값이 create: true다.
    • 그래서 로그인 하지 않을 사용자도 의미없는 세션이 만들어진다.
    • 따라서 세션을 찾아서 사용하는 시점에는 create: false 옵션을 사용해서 세션을 생성하지 않아야 한다.
  • session.getAttribute("loginMember")
@GetMapping("/")
public String homeLoginV3(HttpServletRequest request, Model model) {
    //세션이 없으면 home
    HttpSession session = request.getSession(false);
    if (session == null) {
        return "home";
    }
    Member loginMember = (Member) session.getAttribute("loginMember");
    //세션에 회원 데이터가 없으면 home
    if (loginMember == null) {
        return "home";
    }
    //세션이 유지되면 로그인으로 이동
    model.addAttribute("member", loginMember);
    return "loginHome";
}

세션 생성과 값 설정

  • 세션을 생성하려면 request.getSession(true)를 사용하면 된다.
  • create 옵션은 true와 false를 가질 수 있는데 그 종류에 따라 기능이 다르다.
    • true
      • 세션이 있으면 기존 세션을 반환한다.
      • 세션이 없으면 새로운 세션을 생성해서 반환한다.
    • false
      • 세션이 있으면 기존 세션을 반환한다.
      • 세션이 없으면 새로운 세션을 생성하지 않고 null을 반환한다.
    • true나 false를 지정하지 않으면 기본값인 true를 사용한다.
  • 세션에 값을 설정하고 싶다면 session.setAttribute(키, 값);를 사용하면 된다.
  • 세션에 설정한 값을 가져오고 싶다면 session.getAttribute(키);를 사용하면 된다.

로그인 처리하기 - 서블릿 HTTP 세션2

  • 스프링은 세션을 더 편리하게 사용할 수 있도록 @SessionAttribute을 지원한다.

이미 로그인한 사용자 정보 찾기

  • 컨트롤러에서 @SessionAttribute(name = "loginMember", required = false) Member loginMember를 사용하면 된다.
    • 참고로 이 기능은 세션을 생성하지 않는다.
@GetMapping("/")
public String homeLoginV3Spring(@SessionAttribute(name = "loginMember", required = false) Member loginMember, Model model) {
    //세션에 회원 데이터가 없으면 home
    if (loginMember == null) {
        return "home";
    }
    //세션이 유지되면 로그인으로 이동
    model.addAttribute("member", loginMember);
    return "loginHome";
}

세션 정보와 타임아웃 설정

세션이 갖고 있는 정보

  • sessionId
    • 세션 ID
    • JSESSIONID의 값이다.
    • 예시 : 34B14F008AA3527C9F8ED620EFD7A4E1
  • maxInactiveInterval
    • 세션의 유효 시간
    • 보통 30분을 많이 쓴다.
    • 초 단위로 설정되어 있다.
  • creationTime
    • 세션 생성일시
  • lastAccessedTime
    • 세션과 연결된 사용자가 최근에 서버에 접근한 시간
    • 클라이언트에서 서버로 sessionId(JSESSIONID)를 요청한 경우에 갱신된다.
  • isNew
    • 새로 생성된 세션인지에 대한 여부

세션 타임아웃

  • 사용자들이 직접 로그아웃하는 경우라면 세션을 삭제시키면 되겠지만, 그냥 웹 브라우저를 종료시켜버리면 어떻게 해야할까?
  • HTTP는 비연결성이기 때문에 서버 입장에서는 해당 사용자가 웹 브라우저를 종료한 것인지 아닌지 알 수 없다.
    • 따라서 서버에서 세션 데이터를 언제 삭제해야 하는지 판단하기가 어렵다.
  • 그렇다고 남아있는 세션을 무한정 보관하면 다음과 같은 문제가 발생할 수도 있다.
    • 세션과 관련된 쿠키(JSESSIONID)를 탈취 당했을 경우 오랜 시간이 지나도 해당 쿠키로 악의적인 요청을 할 수 있다.
    • 세션은 기본적으로 메모리에 생성된다.
      • 메모리의 크기가 무한하지 않기 때문에 꼭 필요한 경우만 생성해서 사용해야 한다.
      • 10만명의 사용자가 로그인하면 10만개의 세션이 생성되는 것이다.
  • 그래서 세션의 종료 시점이라는 것이 존재한다.
    • 로그인 시점으로 잡으면 도중에 다시 로그인해야 하는 번거로움이 있다.
    • 보통은 HttpSession을 통해 최근 요청한 시간 기준으로 종료 시점을 잡는다.
  • server.servlet.session.timeout=1800 속성을 통해 세션 유지 시간을 지정할 수 있다.
    • application.properties에서 설정한다.
    • 명시하지 않으면 기본 30분으로 잡힌다.
    • 해당 값은 단위로 지정한다.
    • 특정 세션 단위로 시간을 지정하려면 session.setMaxInactiveInterval(1800);처럼 지정하면 된다.
  • 세션의 lastAccessedTime 이후로 timeout 시간이 지나면 WAS가 내부에서 해당 세션을 제거한다.
  • 세션 시간 변경 시 주의점
    • 세션에는 최소한의 데이터만 보관해야 한다.
    • 보관한 데이터 용량 * 사용자 수로 세션의 메모리 사용량이 급격하게 늘어나서 장애로 이어질 수 있다.
    • 세션의 시간을 너무 길게 가져가면 메모리 사용이 계속 누적 될 수 있다.
    • 세션 시간을 변경하고 싶으면 기본이 30분이라는 것을 기준으로 고민해보자.

TrackingModes

  • 로그인을 처음 시도하면 URL이 다음과 같이 jsessionid 를 포함하고 있는 것을 확인할 수 있다.
    • 예시 : http://localhost:8080/;jsessionid=F59911518B921DF62D09F0DF8F83F872
  • 이것은 웹 브라우저가 쿠키를 지원하지 않을 때 쿠키 대신 URL을 통해서 세션을 유지하는 방법이다.
    • 이 방법을 사용하려면 URL에 이 값을 계속 포함해서 전달해야 한다.
  • 타임리프 같은 템플릿은 엔진을 통해서 링크를 걸면 jsessionid를 URL에 자동으로 포함해준다.
    • 서버 입장에서는 웹 브라우저가 쿠키를 지원하는지 하지 않는지 최초에는 판단하지 못 한다.
    • 그래서 쿠키 값도 전달하고, URL에 jsessionid도 함께 전달한다.
  • URL 전달 방식을 끄고 항상 쿠키를 통해서만 세션을 유지하고 싶으면 다음 옵션을 넣어주면 된다.
    • 이렇게 하면 URL에 jsessionid 가 노출되지 않는다.
    • server.servlet.session.tracking-modes=cookie (application.properties에 추가)
  • 최근 스프링에서 URL 매핑 전략이 변경되어서 jsessionid가 url에 있을때 404 오류가 발생하는 경우가 있다.
    • 그럴 때는 다음 옵션을 넣어주면 된다.
    • server.servlet.session.tracking-modes=cookie (application.properties에 추가)
    • 만약에 URL에 jsessionid가 꼭 필요하다면 spring.mvc.pathmatch.matching-strategy=ant_path_matcher도 추가해주면 된다.

출처

Spring MVC
이 기사는 저작권자의 CC BY 4.0 라이센스를 따릅니다.
최근 업데이트
바로가기