[Spring] 상품 관리 시스템에 세션으로 로그인 처리하기

김영한 님의 '스프링 MVC 2편 - 백엔드 웹 개발 활용 기술'을 보고 정리한 글입니다 😊

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 - 인프런 | 강의

---

- 지난 포스팅과 이어집니다 :D

[Spring] 상품 관리 시스템에 회원가입 / 로그인 처리 로직 추가하기, 쿠키를 통한 식별 처리

---

 

| 세션을 통해 로그인 처리하기 (직접 구현)

- 세션을 통해 로그인을 처리해보자.

- 클라이언트가 로그인 정보를 전송하면, 서버에서 해당 정보를 체크하여 사용자를 조회한다.

- 서버에서는 세션ID를 생성한다. (추정 불가능한 값으로 랜덤하게 생성)

- 생성 후, 해당 세션 ID를 키 값으로 하여 멤버를 저장해둔다.

- 서버는 세션 Id만 쿠키에 담아 전달하고, 클라이언트는 이를 받아서 보관하며 요청 시 함께 전달한다.

⭐ 결국, 중요한 값은 쿠키에 넣어서 전송하지 않는 것.

 

[SessionManager.java]

@Component
public class SessionManager {
    public static final String SESSION_COOKIE = "mySessionId";
    private Map<String, Object> store = new ConcurrentHashMap<>();

    public void createSession(Object value, HttpServletResponse response) {
        String sessionId = UUID.randomUUID().toString();
        store.put(sessionId, value);
        Cookie mySessionCookie = new Cookie(SESSION_COOKIE, sessionId);
        mySessionCookie.setPath("/");
        response.addCookie(mySessionCookie);
    }

    public Object getSession(HttpServletRequest request) {
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE);
        if (sessionCookie == null) {
            return null;
        }
        return store.get(sessionCookie.getValue());
    }

    public void expire(HttpServletRequest request) {
        Cookie sessionCookie = findCookie(request, SESSION_COOKIE);
        if (sessionCookie != null) {
            store.remove(sessionCookie.getValue());
        }
    }

    private Cookie findCookie(HttpServletRequest request, String cookieName) {
        if (request.getCookies() == null) {
            return null;
        }
        return Arrays.stream(request.getCookies())
                .filter(cookie -> cookie.getName().equals(cookieName))
                .findAny()
                .orElse(null);
    }
}

- 세션 생성 및 조회, 만료 기능을 구현하였다.

- 쿠키에 memberId 대신 UUID를 통해 랜덤으로 생성한 값을 넣어주고, 별도의 세션 저장소를 map으로 관리한다.

- 만료 시에는 세션 저장소에서 없애버린다.

- 조회 시에는 HttpServlet에서 쿠키 중 "mySessionId"인 쿠키를 찾아서 해당 쿠키의 value 값을 리턴해준다.

 

cf) 테스트 코드를 짤 때 HttpServletRequest, HttpServletResponse를 사용할 수 없기 때문에 보통은 MockHttpServletRequest, MockHttpServletResponse를 구현한다!

 

[LMemberController.java]

@PostMapping("/login")
public String login(@Valid @ModelAttribute("loginForm") LMemberLoginRequest loginRequest,
                    BindingResult bindingResult, HttpServletResponse response) {
    if(bindingResult.hasErrors()) {
        return "login/members/loginForm";
    }

    LMember loginMember = service.login(loginRequest);
    if(loginMember == null) {
        bindingResult.reject("loginFail", "아이디 또는 비밀번호가 일치하지 않습니다.");
        return "login/members/loginForm";
    }

    sessionManager.createSession(loginMember, response);
    return "redirect:/login/";
}

@PostMapping("/logout")
public String logout(HttpServletRequest request) {
    sessionManager.expire(request);
    return "redirect:/login/";
}

- 다음처럼 로그인, 로그아웃 로직에서 세션을 활용해준다.

 

[LHomeController.java] - 수정

@GetMapping("/")
public String home(HttpServletRequest request, Model model) {
    LMember member = (LMember) sessionManager.getSession(request);
    if(member == null) {
        return "login/home";
    }
    model.addAttribute("member", member);
    return "login/loginHome";
}

- 기존에는 쿠키에서 값을 꺼내서 썼지만, 이번에는 세션 매니저를 통해 map에 저장되어 있는지 판단한다.

- 굳이 쿠키의 유효기간을 줄이지 않아도, map에 없으면 로그아웃이라고 판단하기.

---

 

| 세션을 통해 로그인 처리하기 (서블릿 세션)

- 서블릿에서 제공하는 HttpSession을 통해서 우리의 웹 사이트에 적용해보자.

- 서블릿을 통해 HttpSession을 생성하면 쿠키 이름이 JSESSIONID, 값이 랜덤한 값인 쿠키를 생성해준다.

 

- 즉, 요청이 들어오면 세션을 생성하고, 응답 헤더에 세션 ID를 추가해준다. (JSESSIONID는 톰캣이 생성, 세션 저장소를 톰캣이 관리)

-> 이후 요청을 처리한 다음 응답을 해주는 형식이다.

- 클라이언트에게 응답의 쿠키로 JessionId가 담겨져서 전달되는 형식 (이것도 톰캣이 해준다)

 

[LMemberController.java]

@PostMapping("/login")
public String login(@Valid @ModelAttribute("loginForm") LMemberLoginRequest loginRequest,
                    BindingResult bindingResult, HttpServletRequest request) {
    if(bindingResult.hasErrors()) {
        return "login/members/loginForm";
    }

    LMember loginMember = service.login(loginRequest);
    if(loginMember == null) {
        bindingResult.reject("loginFail", "아이디 또는 비밀번호가 일치하지 않습니다.");
        return "login/members/loginForm";
    }

    HttpSession session = request.getSession();
    session.setAttribute("loginMember", loginMember);
    return "redirect:/login/";
}

@PostMapping("/logout")
public String logout(HttpServletRequest request) {
    HttpSession session = request.getSession();
    if(session != null) {
        session.invalidate();
    }
    return "redirect:/login/";
}

getSession을 통해 기존 세션이 존재하면 반환, 없으면 새로 생성해서 반환하도록 한다. (생성 시 사용)

이때, getSession(false)로 하면 세션이 없을 때 새로운 세션을 생성하지는 않고 null을 반환한다. (조회 시 사용)

 

즉, request 정보에서 얻어온 UUID 값으로 만들어진 쿠키의 value를 보고 세션 저장소에서 동일한 JsessionId 값이 있는지 찾는다.

동일한 값이 있으면 해당 session을 가져오고, 없으면 해당 session을 새로 만들어서 반환한다.

 

session에 데이터를 보관하기 위해 setAttribute()를 사용한다.

name에는 상수값을 사용하는 게 더 좋지만 우선 저렇게 String으로 박았다...

session의 key에는 "loginMember"를, value에는 실제 member 값을 넣어준다.

이후, sessionId를 통해 session을 가져올 때 session의 키를 통해 내부의 member 값을 가져올 수 있다.

 

이후, 로그아웃 시 세션을 제거하기 위해서 session.invalidate()를 사용한다.

 

🚩 음... 좀 복잡하지만 다시 정리하자면,

[톰캣이 관리하는 세션 저장소]

key - JsessionId, value - Session 형태로 저장.

- 여기서 value 값은 request.getSession으로 얻은 값이라고 볼 수 있다.

 

[세션 저장소의 value에 저장된 각 세션]

key - loginMember, value - 실제 Member 객체

- setAttribute를 통해 넣어준 값!

 

이런 식으로 되어 있다고 생각하면 된다!

 

[LHomeController.java]

@GetMapping("/")
public String home(HttpServletRequest request, Model model) {
    HttpSession session = request.getSession(false);
    if (session == null) {
        return "login/home";
    }
    LMember loginMember = (LMember) session.getAttribute("loginMember");
    if (loginMember == null) {
        return "login/home";
    }
    model.addAttribute("member", loginMember);
    return "login/loginHome";
}

- 세션 조회 시에는 getSession(false)를 통해 조회한다. 세션 자체가 없으면 로그아웃이 되어있다고 판단한다.

- 세션이 있다면 각 세션에 저장된 회원 정보를 가져온다.

- 이때, 회원 데이터가 없으면 역시 로그아웃이 되어 있다고 가정한다.

 

cf) 이상태로 진행하면 url에 자동으로 ;jsessionId=302948902384가 붙어서 404 에러가 나타난다.

그래서, 스프링 내부의 config에서 다음과 같이 설정을 추가해주었다.

 

[WebMvcConfig.java]

@Bean
public ServletContextInitializer configSession() {
    return servletContext -> {
        servletContext.setSessionTrackingModes(
                Collections.singleton(SessionTrackingMode.COOKIE));
        servletContext.getSessionCookieConfig()
                .setHttpOnly(true);
    };
}

🚩 HTTP Protocol은 stateless 하기 때문에, 톰캣 같은 서블릿 컨테이너가 세션 관리를 진행한다.

- 이때, 쿠키나 URL Rewriting을 통해서 주로 관리한다.

- 지금 위의 경우 URL Rewriting이 발생한 경우인데, 이때 톰캣이 처리하는 Coyote Http11Process개 CoyoteAdapter를 호출한다

 

[CoyoteAdapter.java]

protected boolean postParseRequest(org.apache.coyote.Request req, Request request,
                                       org.apache.coyote.Response res, Response response) throws IOException, ServletException {

        ...

        String sessionID;
        if (request.getServletContext().getEffectiveSessionTrackingModes()
                .contains(SessionTrackingMode.URL)) {

            // Get the session ID if there was one
            sessionID = request.getPathParameter(
                    SessionConfig.getSessionUriParamName(
                            request.getContext()));
            if (sessionID != null) {
                request.setRequestedSessionId(sessionID);
                request.setRequestedSessionURL(true);
            }
        }

        // Look for session ID in cookies and SSL session
        try {
            parseSessionCookiesId(request);
        } catch (IllegalArgumentException e) {
            // Too many cookies
            if (!response.isError()) {
                response.setError();
                response.sendError(400);
            }
            return true;
        }
        parseSessionSslId(request);
        ...
}

- 위 메서드에서 getEffectiveSessionTrackingModes()에서 URL mode를 포함하면, 해당 URL에서 세션 ID를 파싱하여 찾는다.

- 세션 ID가 존재한다면 request에 session을 진행해준다. 

- 이후, try문에서 쿠키에 저장된 세션ID를 찾는다.

 

[parseSessionCookiesId.java]

protected void parseSessionCookiesId(Request request) {
    Context context = request.getMappingData().context;
    if (context != null && !context.getServletContext()
            .getEffectiveSessionTrackingModes().contains(
                    SessionTrackingMode.COOKIE)) {
        return;
    }

    // Parse session id from cookies
    ServerCookies serverCookies = request.getServerCookies();
    int count = serverCookies.getCookieCount();
    if (count <= 0) {
        return;
    }

    String sessionCookieName = SessionConfig.getSessionCookieName(context);

    for (int i = 0; i < count; i++) {
        ServerCookie scookie = serverCookies.getCookie(i);
        if (scookie.getName().equals(sessionCookieName)) {
            // Override anything requested in the URL
            if (!request.isRequestedSessionIdFromCookie()) {
                // Accept only the first session id cookie
                convertMB(scookie.getValue());
                request.setRequestedSessionId
                        (scookie.getValue().toString());
                request.setRequestedSessionCookie(true);
                request.setRequestedSessionURL(false);
                if (log.isDebugEnabled()) {
                    log.debug(" Requested cookie session id is " +
                            request.getRequestedSessionId());
                }
            } else {
                if (!request.isRequestedSessionIdValid()) {
                    // Replace the session id until one is valid
                    convertMB(scookie.getValue());
                    request.setRequestedSessionId
                            (scookie.getValue().toString());
                }
            }
        }
    }
}

내부에서 동일한 이름을 가진 쿠키를 찾는 걸 볼 수 있다. 이때, 찾으면 URL에서 얻은 값은 false로 처리한다.

⭐아무튼, 이러한 과정 때문에 jessionId 대신 쿠키에 있는 값을 사용하도록 하기 위해 sessionTrackingMode를 Cookie로 설정해주는 것.

 

🚩 나중에 강의 보면서 알게 된 건데, 굳이 이렇게 빈 등록으로 처리하지 않아도... 

application.properties에 다음을 추가해주면 된다...! ㅎㅎ

server.servlet.session.tracking-modes=cookie

 

 

✔ 스프링에서 제공하는 세션 사용하기

- 스프링에서 제공하는 @SessionAttribute를 사용하면 세션을 더 편리하게 사용할 수 있다.

[LHomeController.java]

@GetMapping("/")
public String home(
        @SessionAttribute(name = "loginMember", required = false) LMember loginMember,
        Model model) {

    if (loginMember == null) {
        return "login/home";
    }
    model.addAttribute("member", loginMember);
    return "login/loginHome";
}

- @SessionAttribute를 사용하면 name이 loginMember인 세션을 찾을 수 있다.

- ⭐ 이때는 세션을 생성하지 않고, 단순히 조회 기능만 제공한다.

 

 

✔ 세션이 제공하는 정보

 

session.getId()	JSessionID 값
session.getMaxInactiveInterval()	세션의 유효 시간, 초 단위
new Date(session.getCreationTime())	세션의 생성 일자
new Date(session.getLastAccessedTime())	세션과 연결된 사용자가 최근 서버에 접속한 시간 - 클라이언트가 서버로 JsessionID를 요청한 경우 갱신
session.isNew()	새로 생성된 세션인지, 이미 생성되고 조회된 세션인지 여부

 

- 추가적으로, 세션의 유지 시간은 보통 LastAccessedTime + alpha의 형식으로 진행한다.

- 요청을 할 때마다 그만큼 유지 시간이 더 지속되는 것.

- application.properties를 통해서 따로 설정도 가능하다.

session.setMaxInactiveInterval(1800);

 

- WAS에서는 LastAccessedTime + alpha 만큼의 시간이 지나면 내부에서 세션을 제거한다. (HttpSession 기준)

 

- 다음 포스팅에서는 필터, 인터셉터를 통한 로그인 처리 로직을 알아보자.