인프런 커뮤니티 질문&답변

안녕하세요~

좋은 질문입니다! 너무 오래전이라 해당 부분 강의를 다시 확인해봤는데요. 일단 sessionId가 외부로 노출만 되지 않는다면 보안상 문제가 되지는 않아요. 그래도 이런 중복 로그인에 대한 대처가 있는게 좋을 것 같아요. 기기 정보 혹은 localStorage에 deviceId 같은걸 생성해서 저장해두고 해당 정보를 로그인할 때 같이 보내주면 좋을 것 같아요. 만약 동일한 deviceId로 생성된 세션으로 로그인을 시도하면 새로운 세션을 만들지 말고 해당 sessionId를 다시 보내주고요. (잘못된 요청이 아니라서 여기서 굳이 오류처리를 하지는 않아도 되요. 성공적으로 리턴을 하지만 디비상으로 유저의 세션 변동이 없을 뿐)

그리고 서비스에 따라서는 session 만료기간도 같이 두면 좋습니다. SNS 같은 일반적으로 많이 사용되는 서비스들은 만료기간이 매우 길어요(1년 이상). 근데 AWS 같은 클라우드 서비스, 금융 서비스 이런건 보안이 매우 중요하기 때문에 만료기간이 매우 짧죠. 결제나 회원정보 수정 같이 예민한 부분에서는 로그인이 되어 있음에도 불구하고 2차 인증을 요구하기도 하고요