• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

동시 세션 제어에 관하여 질문드립니다.

21.09.23 00:41 작성 조회수 231

1

안녕하세요! 강의를 듣다가 헷갈려서 질문드립니다.

일단 스프링 부트 2.5.4 최신 버전으로 시큐리티 의존성 추가하여 테스트 하였습니다.

 

동시 세션 제어에서 두 가지 정책을 디버깅 모드에서 코드의 흐름을 테스트 하였는데요. 이전 사용자 세션 만료 혹은 현재 사용자 인증 실패 두 가지 모두 테스트 하였을때요.

 

일단 첫 번째 사용자가 인증을 받은 상태에서, 두 번째 사용자가 인증을 시도하는 시점에 필터의 실행 흐름을 제가 브레이크 포인트를 사용해서 확인하여 보았습니다.

이 때 SessionManagementFilter 에서 이전 사용자 세션 만료 또는 현재 사용자 인증실패가 동작하지 않구요.

인증 필터인 UsernamePasswordAuthenticationFilter 의 doFilter 메서드(코드는 부모 클래스인 AbstractAuthenticationProcessingFilter에 정의되어 있습니다.)안에서 sessionStrategy 참조 값(CompositeSessionAuthenticationStrategy 객체)의 onAuthentication 메서드를 통해서 처리합니다.

이 때 4가지 전략이  순차적으로 실행되는 것 같습니다. (ConcurrentSessionControlAuthenticationStrategy,

ChangeSessionIdAuthenticationStrategy,

RegisterSessionAuthenticationStrategy,

CsrfAuthenticationStrategy)

 

강의에서는 SessionManagementFilter에서 이전 사용자 만료 또는 현재 사용자 인증실패를 처리하는 것으로 이해하였는데요. 실제 동작을 시뮬레이션 해보니 인증 필터인 UsernamePasswordAuthenticationFilter 에서 동작하는 것 같아서요. 제가 잘못 이해한걸까요? 아니면 버전이 달라서 코드가 변경된걸까요? 아니면 SessionManagementFilter 가 동작하는 조건이 다른걸까요?

 

조언 부탁드립니다. 감사합니다.

 

 

course-thumbnail

스프링 시큐리티

11) 스프링 시큐리티 필터 및 아키텍처 정리

강의실 바로가기

답변 1

답변을 작성해보세요.

1

정수원님의 프로필

정수원

지식공유자

2021.09.24

연어포케님이 이해하신 내용이 정확합니다.

동시 세션 제어는 인증을 받는 시점에 체크하고 있습니다.

어떻게 보면 그게 당연한 흐름이라 볼 수 있습니다.

동일한 계정으로 인증을 동시에 하지 못하도록 하는 것이 목적이기 때문에 인증을 처리하는 시점에 하는 것이 맞다고 볼 수 있습니다.

다만 SessionManagementFilter 가 별도로 존재하는 이유는 인증을 받은 사용자 중에서 세션이 만료되었거나 세션안에 인증을 담은 SecurityContext 객체가 없는 사용자임에도 ThreadLocal 에는 SecurityContext 가 존재 할 경우에도 해당 사용자의 동시 접속을 차단해야 하기 때문에 별도로 체크하고 있습니다.

어떻게 보면 세션은 동일하지 않지만 계정만 탈취해서 접속한 사용자의 접근도 막기 위함이라 볼 수 있습니다.

외부의 비 정상적인 침입에 대한 보안 처리라 볼 수 있습니다.

결론은 연어포케님께서 말씀하신 대로 UsernamePasswordAuthenticationFilter 에서 인증이 완료된 사용자에 한해서 동시세션제어의 처리를 하고 있습니다.

이 글과 비슷한 Q&A