1. 세션 구현체(bean)이 Map을 가지는데, 이 부분은 stateful 한 구현이 아닌가요? 2. jsessionId로 세션 저장소에 접근 가능한가요?

Question

[질문 템플릿] 1. 강의 내용과 관련된 질문인가요? (예/아니오) 예 2. 인프런의 질문 게시판과 자주 하는 질문에 없는 내용인가요? (예/아니오) 예 3. 질문 잘하기 메뉴얼을 읽어보셨나요? (예/아니오) 예 [질문 내용] 안녕하세요. 세션에 대한 질문이지만 다소 장황한 질문이 될 것 같습니다. 양해 부탁드립니다. 저는 중복로그인 방지 혹은 블락된 회원의 로그아웃처리를 위한 부분을 구현하고자 하였습니다. 중복 로그인을 방지하기 위해서는 세션을 두 개 가진 회원에 대하여 하나를 삭제해야 하며, 블락된 회원의 경우 즉각적으로 로그아웃을 시키려면 해당 회원의 세션을 서버에서 삭제해야 합니다. 이러한 고민을 통해 코드를 구현하는 과정에서 몇 가지 의문이 생겼습니다. 1. 세션 구현체(bean)이 Map을 가지는데, 이 부분은 Stateful 한 구현이 아닌가요? 김영한 선생님이 구현한 SessionManager를 보면, 회원들의 데이터를 `private Map sessionStore = new ConcurrentHashMap<>();` 의 형태로 구현하였습니다. 저는 bean과 스프링 컨테이너를 생성함에 있어서 상태값이 존재하면 안된다는 것을 일종의 금과옥조로 여기며 구현해왔습니다. 만약 상태값이 필요로 하다면 final 을 사용했습니다. 가능하면 properties, enum을 사용하는 등 stateless 를 지키기 위하여 노력했습니다. 그런데 생각해보면, 필드에 map을 사용하는 것이, 어떤 스레드의 동작 결과로서 데이터가 남아서, 다른 스레드의 로직에 영향을 미칠 일은 없을 것 같습니다. 그렇게 생각하니, 로직만 잘 짠다면 빈을 설계할 때 항상 stateless 하게 설계할 필요가 없겠다는 생각이 듭니다. stateful bean 의 구현과 관련하여 제 나름의 정리가 필요했습니다. 그래서 자료를 찾기 위해 노력했지만, 검색 능력이 딸려서인지 관련한 블로그나 자료를 찾을 수 없었습니다. 그래서 이렇게 질문을 올립니다. 혹시 관련하여 현업에서 빈을 구현할 때, stateful 한 구현을 하는지, 만약 한다면 어느 수준과 어떤 규칙으로 구현하는지 궁금합니다. 만약 관련한 좋은 자료가 있다면 공유 부탁드려도 되는지 궁금합니다. 2. jsessionId로 세션 저장소에 접근 가능한가요? 특정 회원을 블락하고, 블락한 회원의 세션을 종료시킨다고 하면, 가장 좋은 방법은 톰캣에 있는 세션저장소의 세션을 즉각적으로 삭제하는 것이라 생각합니다. 모든 세션에는 jsessionId가 부여됩니다. 저는 세션저장소의 값을 jsessionId를 key로 하여 꺼내고 조작할 수 있는 방법이 있을 것이라 생각했고, 그 방법을 찾기 위하여 노력했습니다. 하지만 실패하고 말았습니다ㅠ. 세션 저장소에서 세션을 바로 삭제할 수 없기 때문에, 해당 세션을 가진 클라이언트가 접근할 때까지 기다리는 방법을 선택할 수밖에 없었습니다. 어드민이 특정 회원을 블락한 경우, 해당 회원의 데이터도 변경하고 동시에 DB에 블락회원리스트를 만들어 삽입합니다. 그리고 모든 회원이 웹 어플리케이션에 접근할 때, 해당 리스트에 자신이 있는지를 확인하였습니다(그 내용은 아래의 소스와 같습니다). 블락된 회원이 세션이 있는 상태로 웹 어플리케이션에 접근하면, 그때 세션을 조작하는 방식입니다. 회원 정보와 관련한 전체 테이블을 조회하는 것보다는, 블락된 회원 리스트를 조회하는 것이 그나마 리소스를 덜 쓴다고 생각하지만, 이것 또한 많은 리소스를 쓴다고 생각합니다. 그래서 다시금 질문을 드리자면, 세션 저장소에 jsessionId를 가지고 직접 조작하는 방법이 없을까요? 회원이 로그인을 하면 로그인시 사용한 jsessionId를 수집합니다. 해당 회원을 블락할 경우, 해당 jsessionId를 가지고 바로 session. invalidate()를 하면 제일 빠르고 적은 리소스를 사용할 것 같습니다. 만약 그러한 방법을 사용하지 못한다면, 보통 어떤 식으로 현업에서 특정 회원의 세션을 조작하는지 궁금합니다. 감사합니다. @GetMapping("/access") @ResponseBody public String access(HttpServletRequest request, HttpServletResponse response) { blockedUserService.clearExcpectedExpiredSession(sec); // 세션 유효기간을 초과한 웨이팅 리스트는 삭제한다. HttpSession session = request.getSession(); UserEntity userInSession = (UserEntity) session.getAttribute("user"); if(userInSession!=null) { String id = userInSession.getId(); if(blockedUserService.isBlocked(id)) { session.invalidate(); // 세션 삭제 blockedUserService.pop(id); log.info("블락된 회원. 세션 삭제 : {}", session.getId()); return "블락된 회원입니다. 세션이 남아있습니다. 세션이 삭제됩니다."; } } // ... 후략... } 마지막으로 데이타 다루는 기술 관련한 차후 강의는 언제 열리나요? 무척 기대하고 있습니다~~

김영한 · Answer

안녕하세요. SJ BAE님 예제에서 만든 세션 저장소는 학습을 위해서 만든것입니다. 실무에서는 서버가 최소한 2대 이상으로 운영되기 때문에 이렇게 사용하면 안되겠지요? 서버가 2대 이상이면 세션 클러스터링을 사용해서 세션을 동기화하거나 또는 세션을 DB나 Redis 같은 곳에 보관해서 처리해야 합니다. 참고로 스프링 세션이라는 프로젝트를 공부해보시면 원하시는 답을 찾을 수 있을거에요. 감사합니다.