SessionManagementFilter의 대한 문의드립니다.

Question

https://www.inflearn.com/course/lecture?courseSlug=%EC%BD%94%EC%96%B4-%EC%8A%A4%ED%94%84%EB%A7%81-%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0&unitId=29835&tab=curriculum 해당 강의를 듣고 질문이 있습니다. FilterChainProxy의 시큐리티 필터 목록을 보면 SessionManagementFilter가 별도로 있는데요. 강사님이 설명해주신 내용과 ppt를 보면, UsernamePasswordAuthenticationFilter에서 호출되는 CompositeSessionAuthenticationStrategy의 strategy들을 SessionManagementFilter라 말씀하시는 것 같습니다. 그럼 시큐리티 필터 목록에 있는 SessionManagementFilter는 언제 호출되는걸까요? 혹시라도 제가 잘못 이해한 부분이 있다면, 피드백 부탁드립니다.

정수원 · Answer

네 세션을 관리하는 필터는 SessionManagementFilter 가 맞습니다. 그리고 이 필터는 내부적으로 여러 strategy 들을 가지고 있습니다. SessionManagementFilter 는 http.sessionManagement() 를 선언할 경우 실행되는 필터인데 현재 요청자의 세션에서 SecurityContext 가 존재하지 않고(세션만료 혹은 세션 강제 종료인 경우) ThreadLocal 에 SecurityContext 가 존재할 경우에 시행됩니다. 즉 일반적이라면 인증에 성공한 이후 세션에 SecurityContext 가 저장되지만 만약 현재 요청이 세션에 SecurityContext 가 없고 이 시점에 인증이 이루어졌다면 ThreadLocal 에는 SecurityContext 가 저장되기 때문에 이 같은 경우 CompositeSessionAuthenticationStrategy 를 실행해서 현재 요청에 대해 동시접속자 체크 및 세션조작과 관련된 처리를 하는 필터입니다. 보통 SecurityContext 가 존재하지 않고(세션만료 혹은 세션 강제 종료인 경우) ThreadLocal 에 SecurityContext 가 존재할 경우가 일반적인 상황은 아니기 때문에 자주 일어나는 상황은 아닙니다. UsernamePasswordAuthenticationFilter 은 인증을 처리하는 필터기 때문에 당연히 CompositeSessionAuthenticationStrategy 를 사용해서 인증과정 이후 동시세션 접속자나 세션고정보호 등의 처리를 하고 있습니다.