동시 세션 제어에 관하여 질문드립니다.

Question

안녕하세요! 강의를 듣다가 헷갈려서 질문드립니다. 일단 스프링 부트 2.5.4 최신 버전으로 시큐리티 의존성 추가하여 테스트 하였습니다. 동시 세션 제어에서 두 가지 정책을 디버깅 모드에서 코드의 흐름을 테스트 하였는데요. 이전 사용자 세션 만료 혹은 현재 사용자 인증 실패 두 가지 모두 테스트 하였을때요. 일단 첫 번째 사용자가 인증을 받은 상태에서, 두 번째 사용자가 인증을 시도하는 시점에 필터의 실행 흐름을 제가 브레이크 포인트를 사용해서 확인하여 보았습니다. 이 때 SessionManagementFilter 에서 이전 사용자 세션 만료 또는 현재 사용자 인증실패가 동작하지 않구요. 인증 필터인 UsernamePasswordAuthenticationFilter 의 doFilter 메서드(코드는 부모 클래스인 AbstractAuthenticationProcessingFilter에 정의되어 있습니다.)안에서 sessionStrategy 참조 값(CompositeSessionAuthenticationStrategy 객체)의 onAuthentication 메서드를 통해서 처리합니다. 이 때 4가지 전략이 순차적으로 실행되는 것 같습니다. (ConcurrentSessionControlAuthenticationStrategy, ChangeSessionIdAuthenticationStrategy, RegisterSessionAuthenticationStrategy, CsrfAuthenticationStrategy) 강의에서는 SessionManagementFilter에서 이전 사용자 만료 또는 현재 사용자 인증실패를 처리하는 것으로 이해하였는데요. 실제 동작을 시뮬레이션 해보니 인증 필터인 UsernamePasswordAuthenticationFilter 에서 동작하는 것 같아서요. 제가 잘못 이해한걸까요? 아니면 버전이 달라서 코드가 변경된걸까요? 아니면 SessionManagementFilter 가 동작하는 조건이 다른걸까요? 조언 부탁드립니다. 감사합니다.

정수원 · Answer

네 연어포케님이 이해하신 내용이 정확합니다. 동시 세션 제어는 인증을 받는 시점에 체크하고 있습니다. 어떻게 보면 그게 당연한 흐름이라 볼 수 있습니다. 동일한 계정으로 인증을 동시에 하지 못하도록 하는 것이 목적이기 때문에 인증을 처리하는 시점에 하는 것이 맞다고 볼 수 있습니다. 다만 SessionManagementFilter 가 별도로 존재하는 이유는 인증을 받은 사용자 중에서 세션이 만료되었거나 세션안에 인증을 담은 SecurityContext 객체가 없는 사용자임에도 ThreadLocal 에는 SecurityContext 가 존재 할 경우에도 해당 사용자의 동시 접속을 차단해야 하기 때문에 별도로 체크하고 있습니다. 어떻게 보면 세션은 동일하지 않지만 계정만 탈취해서 접속한 사용자의 접근도 막기 위함이라 볼 수 있습니다. 외부의 비 정상적인 침입에 대한 보안 처리라 볼 수 있습니다. 결론은 연어포케님께서 말씀하신 대로 UsernamePasswordAuthenticationFilter 에서 인증이 완료된 사용자에 한해서 동시세션제어의 처리를 하고 있습니다.