21.04.15 16:56 작성
·
165
0
안녕하세요
세션 정책이 필요한 경우를 잘 모르겠어서 질문 드려요~
스프링 시큐어리티가 세션을 생성하지 않으면,, 다른 무언가가 세션을 생성하고 그 세션을 시큐어리티가 받아서 사용한다던가 이런 경우인것 같은데.. 어떤 경우인지 전체적인 그림이 그려지지 않아 좀 붕 뜬 느낌이네요 ㅜ
어떤 경우가 있을까요?
답변 1
4
2021. 04. 15. 17:03
일반적으로 세션을 WAS 가 먼저 생성을 합니다.
스프링 시큐리티는 세션을 참조할 때 기본적으로는 request.getSession(false) 입니다.
즉 세션을 가지고 오는데 세션이 있으면 참조하고 없으면 null 을 받습니다.
이 때 톰캣이 세션을 먼저 생성했다면 그 세션을 인증 유무에 관계 없이 그냥 이용한다는 의미로 보시면 됩니다.
그런데 만약에 아무데서도 세션을 생성하거나 존재하지 않았다고 가정한다면 스프링 시큐리티는 인증을 성공한 경우 request.getSession(true) 로 전환되어 직접 세션을 생성한다고 보시면 됩니다.
너무 어렵게 생각하실 필요 없습니다.^^