본문 바로가기
Spring Study/MVC 패턴

[MVC 패턴] 로그인 처리1 - 쿠키, 세션

by 정재인 2023. 8. 29.

로그인 처리하기 - 쿠키 사용

로그인 상태를 유지하기 위한 방법에는 쿼리 파라미터를 계속 유지하면서 보내는 방법이 있다. 하지만 이 방법은 매우 어렵고 번거로운 작업이기 때문에 쿠키를 사용한다.

 

서버에서 로그인에 성공하면 HTTP 응답에 쿠키를 담아서 브라우저에 전달 후 브라우저는 해당 쿠키를 지속해서 보내준다.

 

쿠키 종류

쿠키에는 영속 쿠키와 세션 쿠키가 존재한다.

  • 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지
  • 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지

브라우저 종료시 로그아웃 되길 원하므로, 세션 쿠키가 필요하다.

 

쿠키 생성 로직

//쿠키에 시간 정보를 주지 않으면 세션 쿠키(브라우저 종료시 모두 종료)
Cookie idCookie = new Cookie("memberId", String.valueOf(loginMember.getId()));
response.addCookie(idCookie);

 

로그아웃 기능

  • 세션 쿠키이므로 웹 브라우저 종료 시 로그아웃
  • 서버에서 해당 쿠키의 종료 날짜를 0으로 지정
@PostMapping("/logout")
public String logout(HttpServletResponse response) {
    expireCookie(response, "memberId");
    return "redirect:/";
}

private void expireCookie(HttpServletResponse response, String cookieName) {
    Cookie cookie = new Cookie(cookieName, null);
    cookie.setMaxAge(0);
    response.addCookie(cookie);
}

 

쿠키와 보안 문제

보안문제

  • 쿠키 값은 임의로 변경할 수 있다.
    • 클라이언트가 쿠키를 강제로 변경하면 다른 사용자가 된다.
    • 실제 웹 브라우저 개발자모드 → Application → Cookie 변경으로 확인
  • 쿠키에 보관된 정보를 훔쳐갈 수 있다.
    • 이 정보가 웹 브라우저에도 보관되고, 네트워크 요청마다 계속 클라이언트에서 서버로 전달된다.
    • 쿠키의 정보가 나의 로컬 PC에서 털릴 수도 있고, 네트워크 전송 구간에서 털릴 수도 있다.
  • 해커가 쿠키를 한번 훔쳐가면 평생 사용할 수 있다.
    • 해커가 쿠키를 훔쳐가서 그 쿠키로 악의적인 요청을 계속 시도할 수 있다.

대안

  • 쿠키에 중요한 값을 노출하지 않고, 사용자 별로 예측 불가능한 임의의 토큰(랜덤 값)을 노출하고, 서버에서 토큰과 사용자 id를 매핑해서 인식한다. 또한 서버에서 토큰을 관리한다.
  • 토큰은 해커가 임의의 값을 넣어도 찾을 수 없도록 예상 불가능 해야 한다.
  • 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 해당 토큰의 만료시간을 짧게 유지한다. 또는 해킹이 의심되는 경우 서버에서 해당 토큰을 강제로 제거한다.

 

로그인 처리하기 - 세션 동작 방식

사용자가 loginId, password 정보를 전달하면 서버에서 해당 사용자가 맞는지 확인한다.

 

1. 세션 ID를 생성하는데 ,추적 불가능해야한다.

2. UUID는 추정이 불가능하다.

   ex) Cookie: mySessionId=zz0101xx-bab9-4b92-9b32-dadb280f4b61

3. 생성된 세션 ID와 세션에 보관할 값(memberA)을 서버의 세션 저장소에 보관한다.

 

1. 클라이언트와 서버는 결국 쿠키로 연결 되어야 한다.

2. 서버는 클라이언트에 mySessionId라는 이름으로 세션 ID만 쿠키에 담아서 전달한다.

3. 클라이언트는 쿠키 저장소에 mySessionId 쿠키를 보관한다.

 

1. 클라이언트는 요청시 항상 mySessionId 쿠키를 전달한다.

2. 서버에서는 클라이언트가 전달한 mySessionId 쿠키 정보로 세션 저장소를 조회해서 로그인시 보관한 세션 정보를 사용한다.

 

정리

1. 세션을 사용해서 서버에서 중요한 정보를 관리하게 된다. 덕분에 다음과 같은 보안 문제들을 해결할 수 있다.

2. 쿠키 값 변조 가능 → 예상 불가능한 복잡한 세션 Id를 사용한다.

3. 쿠키에 보관하는 정보는 클라이언트 해킹 시 털릴 가능성이 있다. → 세션 Id가 털려도 여기에는 중요한 정보가 없다.

4. 쿠키 탈취 후 사용 → 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 세션 만료시간을 짧게 유지한다. 또는 해킹이 의심되는 경우 서버에서 해당 세션을 강제로 제거하면 된다.

 

SessionManager - 세션 관리

import org.springframework.stereotype.Component;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.ConcurrentHashMap;

/**
* 세션 관리
*/
@Component
public class SessionManager {
  
    public static final String SESSION_COOKIE_NAME = "mySessionId";
  
    private Map<String, Object> sessionStore = new ConcurrentHashMap<>();

    /**
      * 세션 생성
      */
    public void createSession(Object value, HttpServletResponse response) {

    //세션 id를 생성하고, 값을 세션에 저장
    String sessionId = UUID.randomUUID().toString(); 
    sessionStore.put(sessionId, value);
    
    //쿠키 생성
    Cookie mySessionCookie = new Cookie(SESSION_COOKIE_NAME, sessionId);
    response.addCookie(mySessionCookie);
  }

    /**
      * 세션 조회
      */
    public Object getSession(HttpServletRequest request) {
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
        if (sessionCookie == null) {
            return null;
        }
        return sessionStore.get(sessionCookie.getValue());
    }

    /**
      * 세션 만료
      */
    public void expire(HttpServletRequest request) {
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE_NAME);
        if (sessionCookie != null) {
            sessionStore.remove(sessionCookie.getValue());
        }
}
    private Cookie findCookie(HttpServletRequest request, String cookieName) {
        if (request.getCookies() == null) {
            return null;
        }
        return Arrays.stream(request.getCookies())
                .filter(cookie -> cookie.getName().equals(cookieName))
                .findAny()
                .orElse(null);
    } 
}

 

로그인 처리하기 - 서블릿 HTTP 세션

@SessionAttribute

스프링은 세션을 더 편리하게 사용할 수 있도록 @SessionAttribute를 지원한다.

@SessionAttribute(name = "loginMember", required = false) Member loginMember

 

세션 타임아웃 설정

세션은 사용자가 로그아웃을 직접 호출해서 session.invalidate()가 호출되는 경우 삭제된다. 하지만 대부분의 사용자는 로그아웃을 선택하지 않고, 웹 브라우저를 종료한다. 문제는 HTTP가 비 연결성(ConnectionLess)이므로 서버 입장에서는 해당 사용자가 웹 브라우저를 조료한 것인지 아닌지를 인식할 수 없다. 따라서 서버에서 세션 데이터를 언제 삭제해야 하는지 판단하기가 어렵다.

 

이 경우 다음과 같은 문제가 발생할 수 있다.

1. 세션과 관련된 쿠키(JSESSIONID)를 탈취 당했을 경우 오랜 시간이 지나도 해당 쿠키로 악의적인 요청을 할 수 있다.

2. 세션은 기본적으로 메모리에 생성된다. 메모리의 크기가 무한하지 않기 때문에 꼭 필요한 경우만 생성해서 사용해야 한다.

 

세션의 종료 시점

사용자가 서버에 최근에 요청한 시간을 기준으로 30분 정도로 유지해 주는 것이 좋다.

 

application.properties (특정 세션 단위로 시간 설정)

session.setmaxinactiveinterval(1800);	//1800초

'Spring Study > MVC 패턴' 카테고리의 다른 글

[MVC 패턴] 예외 처리와 오류 페이지  (0) 2023.09.01
[MVC 패턴] 로그인 처리2 - 필터, 인터셉트  (0) 2023.08.31
[MVC 패턴] 검증2 - Bean Validation  (0) 2023.08.24
[MVC 패턴] 검증1 - Validation  (0) 2023.08.24
[MVC 패턴] 메시지, 국제화  (0) 2023.08.22

관련글

댓글

티스토리툴바