Java & Kotlin/Spring

[Spring] 세션 정보와 타임아웃

jaamong 2023. 3. 17. 10:51
 

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술 - 인프런 | 강의

웹 애플리케이션 개발에 필요한 모든 웹 기술을 기초부터 이해하고, 완성할 수 있습니다. MVC 2편에서는 MVC 1편의 핵심 원리와 구조 위에 실무 웹 개발에 필요한 모든 활용 기술들을 학습할 수 있

www.inflearn.com

섹션 6. 로그인 처리1 - 쿠키, 세션

 

 

 

이전 포스트

2023.03.16 - [Spring] - [Spring] 쿠키의 보안 문제와 세션

 

세션 정보

가져온 세션의 정보를 출력해 보자.

    @GetMapping("/session-info")
    public String sessionInfo(HttpServletRequest request) {
        HttpSession session = request.getSession(false);
        if (session == null) {
            return "세션이 없습니다";
        }

        //세션 데이터 출력
        session.getAttributeNames().asIterator()
                .forEachRemaining(name -> log.info("session name={}, value={}", name, session.getAttribute(name)));

        log.info("sessionId={}", session.getId());
        log.info("getMaxInactiveInterval={}", session.getMaxInactiveInterval());
        log.info("creationTime={}", new Date(session.getCreationTime())); //long -> Date
        log.info("lastAccessedTime={}", new Date(session.getLastAccessedTime()));
        log.info("isNew={}", session.isNew());

        return "세션 출력";
    }

 

  • sessionId : 세션 Id, JESSIONID의 값이다.
  • maxInactiveInterval : 세션의 유효 시간 (기본 1800초)
  • creationTime : 세션 생성 일시
  • lastAccessedTime : 세션과 연결된 사용자가 최근에 서버에 접근한 시간, 클라이언트에서 서버로 sessionId(JESSIONID)를 요청한 경우에 갱신된다.
  • isNew : 새로 생성된 세션인지 또는 이미 과거에 만들어졌고, 클라이언트에서 서버로 sessionid(JESSIONID)를 요청해서 조회된 세션인지 여부를 나타낸다.

 

세션 종료 시점

세션은 사용자가 로그아웃을 해서 session.invalidate()가 호출되는 경우에 삭제된다. 하지만 대부분의 사용자는 로그아웃을 클릭하지 않고, 웹 브라우저를 종료한다. HTTP는 비연결성(Connectionless)이므로 서버 입장에서는 해당 사용자가 웹 브라우저를 종료한 것인지 아닌지 알 수 없다. 따라서 서버에서 세션 데이터를 언제 삭제해야 하는지 판단하기 어렵다. 남아있는 세션을 무한정 보관하면 아래와 같은 문제가 발생할 수 있다.

  • 세션과 관련된 쿠키(JESSIONID)를 탈취당했을 경우 오랜 시간이 지나도 해당 쿠키로 악의적인 요청을 할 수 있다.
  • 세션은 기본적으로 메모리에 생성된다. 메모리의 크기는 한정적이므로 꼭 필요한 경우에만 생성하여 사용해야 한다. 

 

세션의 기본 유효 시간은 30분이다. 사이트를 이용하다가 30분이 지나면 세션이 삭제되기 때문에 다시 로그인을 해서 세션을 생성해야 한다. 즉, 30분마다 다시 로그인을 해야 한다.

대안은 사용자가 서버에 최근에 요청한 시간을 기준으로 30분 정도를 유지해 주는 것이다. 이렇게 하면 사용자가 서비스를 이용 시 세션의 유효 시간이 30분으로 계속 늘어나게 되어 30분마다 로그인하지 않아도 된다. 

 

스프링의 세션 타임아웃 글로벌 설정

application.properties에 아래 코드를 추가하자. 아래처럼 작성하면 60초로 설정된다. (기본 1800초(30분))

server.servlet.session.timeout=60

 

아래는 특정 세션 단위로 시간을 설정하는 코드이다.

session.setMaxInactiveInterval(1800); //1800초 = 30분

 

세션 타임아웃 발생

세션의 타임아웃은 해당 세션과 관련된 JSESSIONID를 전달하는 HTTP 요청이 있으면 현재 시간으로 다시 초기화된다. LastAccessedTime이후로 타임아웃 시간이 지나면 WAS가 내부에서 해당 세션을 제거한다.