-
질문 & 답변
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
SessionManagementFilter의 대한 문의드립니다.
23.04.28 10:02 작성 조회수 235
0
https://www.inflearn.com/course/lecture?courseSlug=%EC%BD%94%EC%96%B4-%EC%8A%A4%ED%94%84%EB%A7%81-%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0&unitId=29835&tab=curriculum
해당 강의를 듣고 질문이 있습니다.
FilterChainProxy의 시큐리티 필터 목록을 보면 SessionManagementFilter가 별도로 있는데요.
강사님이 설명해주신 내용과 ppt를 보면, UsernamePasswordAuthenticationFilter에서 호출되는 CompositeSessionAuthenticationStrategy의 strategy들을 SessionManagementFilter라 말씀하시는 것 같습니다.
그럼 시큐리티 필터 목록에 있는 SessionManagementFilter는 언제 호출되는걸까요?
혹시라도 제가 잘못 이해한 부분이 있다면, 피드백 부탁드립니다.
답변을 작성해보세요.
1
정수원
지식공유자2023.05.02
네
세션을 관리하는 필터는 SessionManagementFilter 가 맞습니다.
그리고 이 필터는 내부적으로 여러 strategy 들을 가지고 있습니다.
SessionManagementFilter 는 http.sessionManagement() 를 선언할 경우 실행되는 필터인데 현재 요청자의 세션에서 SecurityContext 가 존재하지 않고(세션만료 혹은 세션 강제 종료인 경우) ThreadLocal 에 SecurityContext 가 존재할 경우에 시행됩니다.
즉 일반적이라면 인증에 성공한 이후 세션에 SecurityContext 가 저장되지만 만약 현재 요청이 세션에 SecurityContext 가 없고 이 시점에 인증이 이루어졌다면 ThreadLocal 에는 SecurityContext 가 저장되기 때문에 이 같은 경우 CompositeSessionAuthenticationStrategy 를 실행해서 현재 요청에 대해 동시접속자 체크 및 세션조작과 관련된 처리를 하는 필터입니다.
보통 SecurityContext 가 존재하지 않고(세션만료 혹은 세션 강제 종료인 경우) ThreadLocal 에 SecurityContext 가 존재할 경우가 일반적인 상황은 아니기 때문에 자주 일어나는 상황은 아닙니다.
UsernamePasswordAuthenticationFilter 은 인증을 처리하는 필터기 때문에 당연히 CompositeSessionAuthenticationStrategy 를 사용해서 인증과정 이후 동시세션 접속자나 세션고정보호 등의 처리를 하고 있습니다.
답변 1