패스트캠퍼스 챌린지 17일차 - Spring Security 6

📌 Spring security 6

✔️ ConcurrentSessionFilter

• 동시접속에 대한 처리(제한)를 수행한다.
• 만료된 토큰이 들어오지 못하도록 제어한다.

 

✔️ SessionManagementFilter

• SessionAuthenticationStrategy 인터페이스를 구현하는 클래스  정의한다.
  • onAuthentication 구현 메서드를 구현한다.
    인증이 발생한 경우 세션의 전략을 결정한다.

 

✔️ 스프링이 지원하는 Authentication strategy filter

1. 세션 고정 정책
2. 동시접속 제어

 

✔️ ConcurrentSessionControlAuthenticationStrategy

• 세션에 대한 동시접속 발생시 설정된 한계값을 넘었을 때 기존 세션을 만료시킬 것인지, 새로운 세션을 거부할 것인지 결정한다.

http.sessionManagement(
    sm ->                    // allowedSessions
        sm.maximumSession(1) // 동일 username 세션 동시접속 수 설정
          .maxSessionPreventsLogin(false) // 기존세션만료 (default)
          .expiredUrl("/session-expired") // 만료된 세션 redirect
)

 

✔️ SessionRegistry

• sessionInformation, principals을 가진다.
• sessionInformation
  • Map<SessionId, SessionInformation>
  • principal, sessionId, expired
• SessionRegistry의 principals에서 현재 principal로 sessionId를 추출한다.
  추출된 sessionId로 sessionInformation 조회 가능하다.

 

✔️ Bean 등록

@Bean
SessionRegistry sessionRegistry() {
    SessionRegistryImpl registry = new SessionRegistryImpl();
    return registry;
}

 

✔️ 세션 ID 고정
Session-fixation

http.
    sessionManagement(
        sm -> sm.sessionFixation(seessionFixationConfigurer.none())
    )

 

sessionFixationConfigurer.changeSessionId() (default)

• 로그인할 때마다 세션ID를 변경한다.
• session-fixation attack 방지한다.

 

sessionFixationConfigurer.none()

• 로그인할 때마다 세션ID를 변경하지 않는다.
• 로그아웃 후 재로그인 해도 세션ID가 그대로이다. (변경 ❌)

 

✔️ 세션 생성 정책

http.
    sessionMangement
        .sessionCreationPolicy(SessionCreationPolicy.ALWAYS)

 

✔️ SessionCreationPolicy

• ALWAYS : 현재 세션이 없다면 항상 생성한다. (사용)
• IF_REQUIRED : 세션이 필요한 경우 생성한다.
• NEVER : 현재 필터 내에서는 세션 생성하지 않는디. ❌
• STATELESS : 세션을 사용하지 않는다. ❌ 

---

👍  수강인증

 

패스트캠퍼스 [직장인 실무교육]

본 포스팅은 패스트캠퍼스 환급 챌린지 참여를 위해 작성되었습니다.