문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판 이전 판 다음 판 | 이전 판 | ||
springframework:security [2013/01/22 15:51] kwon37xi [Session 폭증 문제] |
springframework:security [2021/11/02 08:57] (현재) kwon37xi |
||
---|---|---|---|
줄 16: | 줄 16: | ||
로그인시에 세션에 저장하는 값들은 [[http:// | 로그인시에 세션에 저장하는 값들은 [[http:// | ||
+ | ==== 설정에서 세션 생성하지 않도록 ==== | ||
+ | 설정에서 '' | ||
+ | <code xml> | ||
+ | <http ... create-session=" | ||
+ | </ | ||
+ | 이렇게 하면 [[http:// | ||
===== Expression Handler ===== | ===== Expression Handler ===== | ||
줄 87: | 줄 93: | ||
문제는 기계화된 로그인 공격이 들어올 경우 모든 리퀘스트는 새로운 세션으로 간주되며 로그인 실패 예외들이 모두 세션에 저장되어 메모리 고갈을 일으킨다는 점이다. 이 때문에 [[http:// | 문제는 기계화된 로그인 공격이 들어올 경우 모든 리퀘스트는 새로운 세션으로 간주되며 로그인 실패 예외들이 모두 세션에 저장되어 메모리 고갈을 일으킨다는 점이다. 이 때문에 [[http:// | ||
+ | |||
+ | 혹은 설정에서 '' | ||
+ | <code xml> | ||
+ | <http ... create-session=" | ||
+ | </ | ||
줄 100: | 줄 111: | ||
< | < | ||
</ | </ | ||
+ | |||
+ | |||
+ | ===== Session 직접 구현 ===== | ||
+ | * ConcurrentSessionFilter -> SecurityContextRepository | ||
+ | |||
+ | ===== @AuthenticationPrincipal ===== | ||
+ | * [[https:// | ||
+ | * Controller 에 로그인 사용자 객체를 주입할 수 있다. | ||
+ | |||
+ | ===== 참고 ===== | ||
+ | * [[http:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// |