[Spring] Spring Security(스프링 시큐리티) 동시 세션 제어, 세션 고정 보호, 세션 정책

🎠 동시 세션 제어
동시 세션 제어 API
세션 고정 보호
세션 정책

🎠 동시 세션 제어

동시 세션 제어는 현재 동일한 계정으로 인증을 받을 때 생성되는 세션의 허용 개수가 초과되었을 경우에 어떻게 그 세션을 계속적으로 초과하지 않고 세션을 유지하는지에 대한 제어를 말한다.

허용 브라우저 개수가 1개라고 가정할 경우에 (사용자 1, 2는 동일한 계정)

1.이전 사용자 세션 만료하는 방법

2. 현재 사용자 인증 실패

동시 세션 제어 API

maximumSessions : 설정한 수만큼 최대 허용 가능 세션 수를 설정
maxSessionPreventsLogin : true로 설정하면 동시 로그인 차단함 -> 위에서 2번째 방법, false는 1번째 방법
invalidSessionUrl
expireUrl

👉 밑에 두 개 다 설정하면 invalidSessionUrl이 우선순위가 된다.

1. 이전 사용자 세션 만료

SecurityConfig

http
                .sessionManagement()
                .maximumSessions(1)
                .maxSessionsPreventsLogin(false);

maxSessionPreventsLogin(false)로 하게 되면 둘 다 인증에 성공을 하게 되지만, 첫 번째 브라우저는 세션이 만료되어서 접속하면 만료되었다는 문구가 출력된다.

2. 현재 사용자 인증 실패

SecurityConfig

http
                .sessionManagement()
                .maximumSessions(1)
                .maxSessionsPreventsLogin(true);

다른 브라우저를 실행해서 localhost:8080에 접속했을 때 하나는 로그인이 되지만 다른 한 브라우저는 세션 maximum이 초과되었다고 뜬다.

세션 고정 보호

공격자가 서버에 접속을 하면 서버는 공격자에게 JSESSIONID를 발급한다.
공격자는 사용자에게 자신이 받은 세션 쿠키를 심어놓는다.
사용자는 공격자가 심어놓은 세션 쿠키를 이용해 서버로 접근한다.
공격자와 사용자 모두가 세션을 공유하기 때문에 공격자가 해당 세션으로 접근할 수 있다. -> 사용자 정보 공유

👉 해당 방식이 세션 고정 공격이다.

그래서 스프링 시큐리티가 세션 고정 보호의 기능을 제공한다.

인증할 때마다 새로운 세션이 생성된다. -> 새로운 쿠키도 생성

이렇게 되면 공격자가 심어놓은 세션을 공유할 수 없다.

아래 API를 통해서 설정할 수 있다.

http
                .sessionManagement()
                .sessionFixation().changeSessionId();

changeSessionId : 기본값이다. 사용자가 인증을 시도하고 성공하게 되면 사용자의 세션은 그대로 두고 세션 아이디만 변경이 된다. (세션 아이디에 따라서 세션을 찾아오기 때문에 괜찮다!)
none : 아무 설정도 안함 (공격자가 공격을 할 수 있다.)
migrationSession : 새로운 세션이 생성되고 새로운 세션 아이디로 생성된다
newSession : 세션이 새롭게 생성되고 세션 아이디도 새롭게 생성되지만 그 세션에서 설정한 여러 가지 속성의 값들을 사용하지 못하고 새롭게 속성값을 설정해야 된다.

changeSessionId와 migrationSession은 속성값이 유지된다.
changeSessionId는 서블릿 3.1 이상에서 기본값으로 사용되고, migrationSession은 그 이하에서 기본값으로 사용된다.

세션 정책

해당 글은 인프런의 스프링시큐리티-Spring Boot 기반으로 개발하는 Spring Security를 보고 작성한 글입니다.

저작자표시 (새창열림)

'Spring' 카테고리의 다른 글

[Spring] Spring Security(스프링 시큐리티) ExceptionTraslationFilter, RequestCacheAwareFilter (0)	2023.11.15
[Spring] Spring Security(스프링 시큐리티) 권한설정과 표현식 (0)	2023.11.09
[Spring] Spring Security(스프링 시큐리티) 익명사용자 인증 : AnonymousAuthenticationFilter (0)	2023.11.04
[Spring] Spring Security(스프링 시큐리티) Remember-Me 인증 (0)	2023.11.03
[Spring] Spring Security(스프링 시큐리티) Logout처리, LogoutFilter (2)	2023.11.02

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

[Spring] Spring Security(스프링 시큐리티) 동시 세션 제어, 세션 고정 보호, 세션 정책

🎠 동시 세션 제어

동시 세션 제어 API

1. 이전 사용자 세션 만료

2. 현재 사용자 인증 실패

세션 고정 보호

세션 정책

'Spring' 카테고리의 다른 글

🎠 동시 세션 제어

동시 세션 제어 API

1. 이전 사용자 세션 만료

2. 현재 사용자 인증 실패

세션 고정 보호

세션 정책

'Spring' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역