서버가 브라우저(사용자)에게 어느 시점에 세션을 만들어서, response 헤더의 Set-Cookie에 jsessionid를 설정하여 응답하는지 궁금합니다.

안녕하세요 선생님, 강의 잘 듣고 있습니다.

사용자가 로그인 페이지에서 로그인 버튼을 클릭하여 서버에서 인증을 처리할 때, 언제 사용자(브라우저)의 고유 세션을 만드는지가 궁금합니다.

HttpServletRequest의 getSession(true); 코드를 통해, 사용자에게 이미 부여된 세션이 있다면 그 세션을 가져오고, 없다면 새로운 세션을 생성한 후, Set-Cookie 에 jsessionid를 설정하여 반환 한다고 알고 있습니다. (처음 서버에 접속한 브라우저에게 적어도 한 번은 세션을 생성해서 부여해줘야 추후에 브라우저가 request header 부분에 jsessionid를 갖고 요청을 한다고 알고 있습니다.)

그런데 사용자가 로그인 버튼을 클릭하여 인증 프로세스가 진행 될 때 AbstractAuthenticationProcessingFilter, UsernamePasswordAuthenticationFilter 부분을 봐도 세션을 명시적으로 생성하는 코드는 딱히 보이지 않는 것 같습니다.

다만 특이한 점은, 로그인을 하려고 localhost:8080/login 페이지로 접속을 하게 되면 그 페이지를 응답받는 동시에 response 헤더쪽에 Set-Cookie: jsessionid=xxxx를 설정해서 응답하더군요. (아래 사진 참고해주시면 감사하겠습니다.)

그러니깐, 사용자가 로그인을 하려고 localhost:8080/login에 접속하면,  로그인 페이지를 자동으로 만들어서 응답해주는 DefaultLoginPageGeneratingFilter 에서 사용자(브라우저)의 세션을 만들어주는 건가요?

(그런데 DefaultLoginPageGeneratingFilter 코드를 봐도, 딱히 명시적으로 세션을 생성해주는 코드는 없는 것 같습니다.)

로그인 (인증) 프로세스가 서버에서 진행될 때, 

public final class ChangeSessionIdAuthenticationStrategy extends AbstractSessionFixationProtectionStrategy {

	@Override
	HttpSession applySessionFixation(HttpServletRequest request) {
		request.changeSessionId();
		return request.getSession();
	}

}

위의 코드를 보면 공격자의 세션 주입 공격을 방지하기 위해서 인증에 성공하면 request.changeSessionId(); 를 실행하여  세션 아이디를 변경해주고 있는데, changeSessionId 메서드는 세션이 생성되어 있지 않다면 java.lang.IllegalStateException: Cannot change session ID. There is no session associated with this request. 예외를 내뱉기 때문에, 인증이 성공적으로 끝난 이후나 이전에 이미 세션이 생성되어져야 한다고 이해하고 있습니다.

제 질문의 의도가 잘 전달되었는지는 모르겠지만, 답변 해주시면 감사드리겠습니다.

좋은 강의 잘 보고 있습니다. 감사합니다