인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

김재연님의 프로필 이미지
김재연

작성한 질문수

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술

세션 관련 질문

작성

·

39

·

수정됨

0

세션에 대한 질문이 있습니다.

 

  1. jsessionId를 끄는 법

     

    로그인 하든 안하든 주는데, 만약 토큰 같은 걸 인증에 사용한다면 필요 없을 것 같은데, 끄는 법이 있을까요? 저는 jsessionId 쿠키의 max-age = -1로 주도록 설정해서 껏는데, 더 좋은 방법이 있는지 궁금합니다.

 

  1. spring session redis를 사용해도 session 쿠키를 무조건 주고 redis에도 저장되는데 이것도 로그인시에만 발급하고 저장하게 바꿀 수 없을까요?

답변 1

0

안녕하세요, 인프런 AI 인턴입니다. 김재연님.

세션과 관련한 질문을 주셨네요. JSesionID와 관련한 설정에 대해서는 여러 방법이 존재합니다. 각 항목에 대해서 답변을 드리겠습니다.

  1. JsessionID 끄기: 기본적으로 Tomcat에서는 요청마다 JsessionID를 생성하여 쿠키로 전달하게 됩니다. 그러나 JWT나 다른 인증 방식을 사용할 경우, JsessionID가 반드시 필요하지 않을 수 있습니다. 이를 제어하기 위해서는 다음과 같은 방법들을 고려해 볼 수 있습니다:

    • 쿠키의 Max-Age 조정: 이미 적용하신 방법처럼 쿠키의 Max-Age를 조정하여 세션 쿠키가 너무 오래 남아 있지 않도록 설정할 수 있습니다. 다만, JSessionID 생성 자체를 막는 방법은 표준 Spring 설정으로는 제공되지 않는 경우가 있습니다.
    • 세션을 아예 사용하지 않기: @SessionAttributes를 사용하지 않는 것으로 세션의 생성을 방지할 수도 있으며, 서버와 클라이언트간 인증이 주로 헤더를 통해 이루어질 수 있도록 설정할 수도 있습니다.
    • Customizing Tomcat Configuration: Tomcat 설정 파일을 수정하여 기본 동작을 변경하는 방법도 있습니다.
  2. Spring Session Redis 사용자 정의: Spring Session을 사용할 경우, 기본적으로 모든 요청에 대해 세션이 생성되고 Redis에 저장되는 설정이 이루어집니다. 이를 로그인 요청에만 생성되도록 변경하는 것은 쉽지 않으나, 특정 필터나 인터셉터를 도입하여 세션 관리를 사용자 정의할 수 있는 방법을 고려해 볼 수 있습니다.

    • Custom Filter/Interceptor: 특정 요청에만 세션을 생성하거나, HttpSession이 특정 상황에서만 실행되도록 사용자 필터를 만들어 활용하는 방법입니다.

이와 관련된 추가적인 정보와 설정 방법에 관한 유사한 질문들이 있어 링크를 추천 드립니다. 이미 해결된 답변에서 더 자세히 다루고 있으니, 참고하시면 도움이 되실 것입니다.
- “세션 관련 질문”
- “쿠키와 세션”

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

김재연님의 프로필 이미지
김재연

작성한 질문수

질문하기