강의

챌린지

멘토링

클립

로드맵

스프링 시큐리티

10) 세션 제어 필터 : SessionManagementFilter, ConcurrentSessionFilter

ConcurrentSessionControlAuthenticationStrategy는 어떻게 같은 user를 인증한 서로 다른 세션이 있는지, 또 그 수가 얼마나 있는지 알 수 있는 것인가요?

해결된 질문2022-04-28T16:05:33.552Z

345

컴퓨터공부하자

작성한 질문수 54

1

ConcurrentSessionControlAuthenticationStrategy는 어떻게 같은 user를 인증한 서로 다른 세션이 있는지, 또 그 수가 얼마나 있는지 알 수 있는 것인가요?

유저가 인증 요청을 할 때마다, 해당 유저와 동일한 유저의 인증된 세션이 존재하는지, 서버에 있는 모든 세션들을 순회하면서 Authentication객체를 열어보고, 거기에 있는 principal 객체의 username이 현재 인증 요청을 한 username과 일치하는지 항상 확인하는 것인가요?

그럼 굉장히 느리고 비효율적일 것 같고 그렇게 구현되지는 않았을 것 같은데, 그럼 어떻게 구현되어 있는 것인지 궁금합니다.

spring-boot Spring Security java

답변 1

1

정수원

2022-04-29T13:39:20.714Z

네 맞습니다.

실제로 그렇게 하고 있습니다.

RegisterSessionAuthenticationStrategy 가 그 역할을 하고 있고 내부적으로 SessionRegistryImpl 를 사용하고 있습니다.

public interface SessionRegistry {

List<Object> getAllPrincipals()

List<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions);

SessionInformation getSessionInformation(String sessionId)

void refreshLastRequest(String sessionId);

void registerNewSession(String sessionId, Object principal)

void removeSessionInformation(String sessionId);

}

위의 메서드가 질문하신 내용을 처리하는 기능을 담당하고 있습니다.

그러나 소스를 찬찬히 뜯어보면 그렇게 비효율적이라는 생각이 들지는 않습니다.

많은 부분에 캐싱을 사용하고 있고 성능에 문제될 만큼 로직이 복잡하지도 않습니다.

소스를 분석해 보시면 많은 도움이 됩니다.

0

컴퓨터공부하자

2022-04-29T15:14:25.516Z

감사합니다. 말씀해주신 코드를 살펴보니 내부적으로 principal을 key로 하고 Set<String(sessionId)>를 value로 하는 hashmap을 가지고 있네요. 그럼 메모리는 조금 사용하더라도 말씀하신 것처럼 탐색에 시간이 오래걸리지는 않을 것 같네요. 자세한 답변 다시 한 번 감사드립니다!

0

컴퓨터공부하자

2022-04-29T15:21:37.727Z

아 그리고 캐싱이라는 개념이 저는 자주 사용되는 데이터들 일부를 원본 데이터들 사이에서 가져와서 물리적으로 IO 시간이 짧은 저장소에 저장해두고 사용하는 개념인 줄만 알았습니다. 그런데 탐색을 위해서 모든 데이터의 key 값을 별도의 자료구조 형태로 들고있는 것도 캐싱이라고 할 수 있는 것이군요.

시큐리티 공부 버전 질문

2025-03-09T15:59:31.005Z

0

192

1

[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈

2024-11-02T06:45:25.484Z

0

199

1

AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우

2024-10-30T22:53:20.617Z

0

187

1

강의 코드가 왜이렇게 뒤죽박죽인가요...

2024-10-27T00:33:39.419Z

0

271

1

메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..

2024-10-20T12:00:38.938Z

0

248

1

파라미터값이 넘어가지 않습니다 ....

2024-03-28T09:17:27.457Z

0

382

1

security filterChain 설정 질문이 있습니다.

2024-03-27T07:52:36.431Z

0

337

1

소스 부분 질문 드립니다.

2024-03-26T01:04:06.248Z

0

214

2

섹션4 7번 강의 문제가 있는거 같네요.

2024-03-26T00:40:04.994Z

0

353

2

파일이 수시로 이름이 바껴있네요 ㄷㄷ

2024-03-25T01:21:47.356Z

0

312

1

HttpSessionSecurityContextRepository를 사용안하는 문제

2024-03-23T02:47:24.238Z

0

566

2

error , exception 이 잘 안됩니다.

2024-03-20T22:38:53.640Z

0

290

2

thymeleaf tag 질문합니다.

2024-03-20T20:23:37.339Z

0

201

2

버전업하면서 deprecated된 것들이 너무많아요

2024-03-13T01:28:41.580Z

0

483

1

spring security 패치 관련

2024-03-08T06:00:11.684Z

0

443

1

모바일을 사용할때 토큰말고 세션

2024-03-05T15:09:47.921Z

0

870

2

DB 연동한 인가 부분에 대한 질문입니다!

2024-03-05T11:40:21.443Z

0

270

1

Ajax방식도 똑같이 Session방식을 사용하는건가요?

2024-03-01T11:42:40.000Z

0

314

1

Config 파일 생성 시 질문이 있습니다.

2024-03-01T09:29:55.876Z

0

238

1

강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..

2024-02-29T13:55:02.555Z

1

443

2

403 에러 뜹니다.

2024-02-28T07:03:55.490Z

0

833

2

login_proc의 존재에 대한 간략한 설명입니다

2024-02-25T05:07:20.183Z

0

284

1

top.html에 로그인 링크를 만들어서 로그인을 해봤습니다

2024-02-24T13:44:41.650Z

0

295

2

안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!

2024-02-24T09:47:31.211Z

0

196

1