• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

CSRF 세션클러스터링

23.04.25 22:03 작성 조회수 476

0

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!
- 먼저 유사한 질문이 있었는지 검색해보세요.
- 서로 예의를 지키며 존중하는 문화를 만들어가요.
- 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.

서버가 이중화되어 있고 웹서버와 WAS 사이 클러스터링은 처리가 되어 있습니다.

서버 A에서 로그인 후 서버 B에서 로그인이 잘 되는것을 확인했습니다.

크롬 개발자 도구에서 POST방식으로 호출 시 헤더에 CSRF 토큰이 존재하는 것 까진 확인하였는데 401에러가 발생합니다.

 

오류 원인 예상가는 부분은 CSRF 토큰이 각 서버에 공유되지 않아 발생하는게 아닌가 싶습니다...

혹시 이 상황을 어떻게 해결해야할까요,,,

course-thumbnail

스프링 시큐리티

7) Ajax 로그인 구현 & CSRF 설정

강의실 바로가기

답변 1

답변을 작성해보세요.

0

정수원님의 프로필

정수원

지식공유자

2023.04.28

CsrfFilter 에서 CsrfToken 을 발행 및 저장하고 있는데 기본적으로는 세션에 저장을 하고 있습니다.

CsrfFilter.java 를 보시면 아래 구문이 나오는데

CsrfToken csrfToken = this.tokenRepository.loadToken(request);
boolean missingToken = (csrfToken == null);
if (missingToken) {
csrfToken = this.tokenRepository.generateToken(request);
this.tokenRepository.saveToken(csrfToken, request, response);
}

위 코드 보시면 tokenRepository 가 내부적으로 HttpSessionCsrfTokenRepository 를 사용해서 토큰을 세션으로부터 불러오거나 저장하고 있습니다.

HttpSessionCsrfTokenRepository. java 입니다.

@Override
public void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {
if (token == null) {
HttpSession session = request.getSession(false);
if (session != null) {
session.removeAttribute(this.sessionAttributeName);
}
}
else {
HttpSession session = request.getSession();
session.setAttribute(this.sessionAttributeName, token);
}
}

@Override
public CsrfToken loadToken(HttpServletRequest request) {
HttpSession session = request.getSession(false);
if (session == null) {
return null;
}
return (CsrfToken) session.getAttribute(this.sessionAttributeName);
}

그래서 세션 클러스터가 되어 있거나 세션서버를 별도로 운용하신다면 이중화 된 상황에서도 동일한 세션을 참조할 것으로 보이는데요..

개발환경에서도 레디스와 같은 통한 세션 서버를 두고 로컬 서버를 여러 개 띄워 이중화 환경을 만들어서 테스트 해 봐야 정확한 원인을 알 것 같습니다.

이 글과 비슷한 Q&A