고구마맨

■ JSESSIONID 란? 서버에서 세션을 유지하기 위해 발급하는 키값이다. JSESSIONID는 서버에서 세션 검증을 하는데에 쓰인다. 〓▶ 브라우저 접근시 서버에서 발급한다. 세션은 서버에 저장되고 클라이언트 브라우저에는 JSESSIONID 값만 가지게 된다. 해당 값을 이용하여 세션을 유지할 수 있도록 기능한다. 서버는 다른데 동일한 도메인을 쓸 경우 JSESSION의 값이 통신이 일어날 때마다 계속 변경된다. 새로운 값으로 계속 덮어써지는데 이에 따른 해결 방법은 WAS 설정 중 JSESSIONID 변경을 통해서 해결할 수 있다. 톰캣의 경우 Server.xml 의 Context 부분에서 sessionCookieName="수정 JSESSIONID" 추가하면 됩니다.

서버 설정을 보다 web.xml 파일 내부에 쿠키 설정 부분을 보게 되었다. 위에 설정 중에 http-only , secure 설정은 모두 쿠키 정보를 탈취 당하지 않기 위해 설정되는 값이다. 이 부분을 한 번 알아보고자 한다. 1) Http-Only - 브라우저에서 쿠키로 접근할 수 없도록 제한하는 속성(쿠키는 클라이언트에서 자바스크립트로 조회가 가능하기 때문에) - XSS 공격이 차단된다. 2) Secure - 통신상 정보 유출을 막기 위해서 HTTP가 아닌 HTTPS 통신을 활용 설정 속성 - HTTP 통신이 아닌 환경에서는 쿠키를 전송하지 않는다. 위 속성들은 보안상 확인해야 할 기본적인 속성에 속한다. 나는 로컬에서 테스트하느라고 Secure 속성을 false 로 변경해서 사용했지만 일반적으로는..

■ 쿠키란? - 웹 브라우저가 웹 서버에 request 요청을 하면 웹 서버는 결과물을 담아서 리턴한다. 이 때 쿠키가 담긴다. 1) 쿠키는 response header 담긴다. - 웹 브라우저는 리턴 받은 쿠키를 로컬에 저장해놓고 웹 서버에 요청을 할 때마다 쿠키 정보를 담아서 보낸다. ■ 쿠키의 종류 1. 세션 쿠키(Session Cookie) - 세션이 유지되는 동안만 브라우저에 저장, 브라우저가 종료되는 즉시 사라진다. 2. 영구적 쿠키(Permanent Cookie) - 유효 시간을 지정해서 유효시간이 만료되기 전까지 저장 예) 장바구니, ID 기억하기 기능 등

SESSION ■ 기본 동작 개념 - 세션은 서버에서 생성되는 기본 객체이다. 1. 브라우저에서 서버로 자원 요청(서버는 브라우저 식별을 위해 세션의 기본 객체를 생성한다.) → 기본 객체엔 Session ID 값이 포함된다. 2. 서버는 생성된 세션 객체를 쿠키에 담아서 Response 한다. 3. 브라우저는 쿠키를 로컬에 저장한다. 4. 브라우저에서 서버로 요청할 때마다 쿠키 정보를 전달하고 서버는 쿠키 안에 세션값을 읽어 브라우저를 식별한다. → 세션 객체 안에 Session ID 값으로 해당 브라우저를 식별한다. ■ 세션 종료 - 세션은 브라우저를 종료시켜 서버에 종료메시지가 전달되거나 session.invalidate()를 호출하면 세션 객체가 사라진다. → 이후 서버에서 브라우저를 식별하지 못..