수민정의 기술블로그

Spring Security Initalization 2개의 WebSecurityConfigurerAdapter 상속클래스가 있다고 가정한다. 설정클래스에서 정의한 여러 API 들을 정의 API에 맞는 클래스에서 Filter Type Bean을 생성 Filter Type Bean 들을 생성하는 클래스는 HttpSecurity ( 각각의 설정클래스의 Filter Type Bean 명단은 SecurityFilterChain의 Filters 필드에 저장 되는 것 기억 ) HttpSecurity의 Filter Type Bean(Filters) 들은 WebSecurity 객체에 저장 됨 WebSecurity의 FilterChainProxy 객체 생성시 FilterChainProxy의 생성자에 SecurityFil..

세션 제어 필터인 SessionManagementFilter 와 ConcurrentSessionFilter 의 자세한 동작구조를 알아본다. SessionManagementFilter . 세션관리 : 인증 시에 사용자의 세션정보를 등록, 조회, 삭제 등의 세션 이력 관리 동시적 세션 제어 : 동일 계정으로 접속이 허용되는 최대 세션 수 제한 세션 고정 보호 : 인증할 때 마다 세션 쿠키를 새로 발급하여 공격자의 쿠키 조작 방지 세션 생성 정책 ConcurrentSessionFilter . 매 요청 마다 사용자의 세션 만료 여부 체크 만료되었을 경우 즉시 만료 처리시킴 session.isExpired() == true 일 경우 로그아웃 처리 즉시 오류 페이지 응답해 줌, "This session has be..