인프런 정수원님의 “스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security"를 보고 작성한 글입니다.
SessionManagementFilter
SessionManagementFilter는 다음과 같은 기능을 한다.
- 세션 관리
- 인증시 사용자의 세션정보를 등록, 조회, 삭제 등의 세션 이력을 관리
- 동시적 세션 제어
- 동일 계정으로 접속이 허용되는 최대 세션수를 제한
- 세션 고정 보호
- 인증 할 때마다 세션쿠키를 새로 발급하여 공격자의 쿠키 조작을 방지
- 세션 생성 정책
- Always, If_Required, Never, Stateless
ConcurrentSessionFilter
- 매 요청 마다 현재 사용자의 세션 만료 여부 체크
- 세션이 만료로 설정되었을 경우 즉시 만료 처리
- session.iseExpired() == true
- 로그아웃 처리
- 즉시 오류 페이지 응답
- “This session has been expired”
SessionManagementFilter, ConcurrentSessionFilter
- 최대 세션의 개수는 1로 설정 했다고 가정한다.
'Spring security' 카테고리의 다른 글
| 스프링 시큐리티 기본 API 및 Filter 이해 - 사이트 간 요청 위조 - CSRF, CsrfFilter (0) | 2023.06.25 |
|---|---|
| 스프링 시큐리티 기본 API 및 Filter 이해 - 권한설정과 표현식 (0) | 2023.06.25 |
| 스프링 시큐리티 기본 API 및 Filter 이해 - 동시 세션 제어, 세션 고정 보호, 세션 정책 (0) | 2023.06.25 |
| 스프링 시큐리티 기본 API 및 Filter 이해 - 익명사용자 인증 필터 : AnonymousAuthenticationFilter (0) | 2023.06.25 |
| 스프링 시큐리티 기본 API 및 Filter 이해 - Remember Me 인증 필터 : RememberMeAuthenticationFilter (0) | 2023.06.25 |
