CSRF 세션클러스터링

Question

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요. 서버가 이중화되어 있고 웹서버와 WAS 사이 클러스터링은 처리가 되어 있습니다. 서버 A에서 로그인 후 서버 B에서 로그인이 잘 되는것을 확인했습니다. 크롬 개발자 도구에서 POST방식으로 호출 시 헤더에 CSRF 토큰이 존재하는 것 까진 확인하였는데 401에러가 발생합니다.   오류 원인 예상가는 부분은 CSRF 토큰이 각 서버에 공유되지 않아 발생하는게 아닌가 싶습니다... 혹시 이 상황을 어떻게 해결해야할까요,,,

정수원 · Answer

네 CsrfFilter 에서 CsrfToken 을 발행 및 저장하고 있는데 기본적으로는 세션에 저장을 하고 있습니다. CsrfFilter.java 를 보시면 아래 구문이 나오는데 CsrfToken csrfToken = this . tokenRepository .loadToken ( request ) ; boolean missingToken = ( csrfToken == null ) ; if ( missingToken ) { csrfToken = this . tokenRepository .generateToken ( request ) ; this . tokenRepository .saveToken ( csrfToken, request, response ) ; } 위 코드 보시면 tokenRepository 가 내부적으로 HttpSessionCsrfTokenRepository 를 사용해서 토큰을 세션으로부터 불러오거나 저장하고 있습니다. HttpSessionCsrfTokenRepository. java 입니다. @Override public void saveToken ( CsrfToken token, HttpServletRequest request, HttpServletResponse response ) { if ( token == null ) { HttpSession session = request.getSession ( false ) ; if ( session != null ) { session.removeAttribute ( this . sessionAttributeName ) ; } } else { HttpSession session = request.getSession () ; session.setAttribute ( this . sessionAttributeName , token ) ; } } @Override public CsrfToken loadToken ( HttpServletRequest request ) { HttpSession session = request.getSession ( false ) ; if ( session == null ) { return null ; } return ( CsrfToken ) session.getAttribute ( this . sessionAttributeName ) ; } 그래서 세션 클러스터가 되어 있거나 세션서버를 별도로 운용하신다면 이중화 된 상황에서도 동일한 세션을 참조할 것으로 보이는데요.. 개발환경에서도 레디스와 같은 통한 세션 서버를 두고 로컬 서버를 여러 개 띄워 이중화 환경을 만들어서 테스트 해 봐야 정확한 원인을 알 것 같습니다.