운영환경에서 이중화 시 권한 리소스 처리

Question

안녕하세요. 강사님 WAS가 이중화되면 권한 리소스는 어떻게 관리되나요? 캐시 서버를 주로 사용하나요? 아니면 매요청때마다 UrlFilterInvocationSecurityMetadatsSource 의 getAttributes 메서드에서 요청되는 URL에 부여된 롤 정보만 DB에서 조회하는 것도 괜찮을까요? 이렇게하면 ant 패턴을 적용이 어려운 점은 있겠네요. 이중화 될 때 Best Practice가 궁금합니다. 감사합니다.

정수원 · Answer

네 이중화 하게 되면 세션을 공유해야 하는 문제가 생깁니다. 그래서 말씀하신 것처럼 레디스 같은 캐시 서버를 두어서 세션을 공유하는 방법을 사용할 수 있습니다. 스프링 시큐리티도 레디스를 활용한 세션공유를 지원하고 있습니다. 기본적으로 스프링 시큐리티는 서블릿 HttpSession 을 사용하게 되고 레디스를 사용할 경우 추가적인 설정을 하면 됩니다. 간단하게 예시를 들자면 의존성을 추가하고 org.springframework.boot spring-boot-starter-data-redis org.springframework.session spring-session-data-redis 레디스를 활성화하는 설정을 추가합니다. @Configuration @EnableRedisHttpSession public class SessionConfig extends AbstractHttpSessionApplicationInitializer { @Bean public JedisConnectionFactory connectionFactory() { return new JedisConnectionFactory(); } } 전체 소스는 아닙니다. 결론적으로 이중화는 세션을 공유할 수 있도록 별도의 작업이 필요하며 인가처리는 DB 에서 하나로 관리하시면 됩니다. 인증이든 인가든 사용자의 세션으로부터 처리되기 때문에 이중화 시에는 세션공유 부분만 신경쓰면 됩니다. 그런 점에서 스프링 시큐리티가 레디스를 지원하기 때문에 이 기능을 사용하시면 될 것 같습니다.