인프런 커뮤니티 질문&답변

andthensome님의 프로필 이미지

작성한 질문수

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술

세션 정보와 타임아웃 설정

(14:40) 세션에 로그인 멤버만 담아야한다.

작성

·

470

·

수정됨

0

세션과 메모리에 대해서 질문드립니다.

강의 14:40 경
'예제에서는 Member 인스턴스 자체를 세션 메모리에 저장했지만, 실무에서는 최소한의 정보를 담은 객체만 저장한다.' 라는 의미로 말씀해주셨습니다.

그렇다면 이 때, 최소한의 정보를 담은 객체 는 어떻게 생성해야 하는지 궁금합니다.

제가 생각한 방법은

1. LoginForm 의 ID, PW 를 추출
2. 로그인 서비스에서 리포지토리에 접근에 실제로 ID, PW가 일치하는지 확인 (로그인 로직 수행)
3. 위 로직이 끝나고 ID, PW에 오류가 없으면 ID 필드만 갖는 LoginMember 인스턴스 생성 (이 경우 JPA를 쓴다면 식별자만 필드로 갖는 LoginMember)
4. 생성된 LoginMember 인스턴스를 value 로 세션 메모리 에 저장

이 될 것 같습니다.

혹시 제가 생각한 방법대로 하면 될지, 아니면 다른 방법이 있을 지 (더 좋은 방법이 없는지) 서포터님의 의견을 묻고 싶습니다.

영한님과 서포터님들께 항상 감사드립니다. 🙇‍♂️

답변 2

2

안녕하세요. andthensome님, 공식 서포터즈 David입니다.

말씀하신 대로 하셔도 되고, 세션에 최소한의 데이터를 보관할 용도로 클래스를 만드셔서 해당 클래스에 데이터를 담아서 보관하셔도 됩니다. 예) SessionMember.class

감사합니다.

andthensome님의 프로필 이미지
andthensome
질문자

데이비드님 답변 감사합니다!

만약 JPA를 사용하고, 인스턴스를 세션에 담는 것이 아닌 Member의 고유값을 담는다고 했을 때,

식별자 (`@Id`) 를 담는 편이 좋을까요 아니면
로그인 ID (또는 이메일, 유니크 제약이 있다고 가정) 를 담는 편이 좋을까요?

DB 내부의 정보가 사용자의 브라우저가 노출되지 않아야 한다는 점에서 로그인 ID를 담는편이 좋다고 생각하는데, 서포터님 의견도 궁금합니다!

만약 JPA를 사용하고, 인스턴스를 세션에 담는 것이 아닌 Member의 고유값을 담는다고 했을 때,

이 말씀이 무슨 말인지 잘 이해되지 않습니다. 조금 더 풀어서 설명해 주실 수 있으실까요?

 

일반적으로 식별자를 노출시키긴 합니다.

식별자를 노출하지 않아야 할 정도로 보안이 중요하다면 회사 보안 정책에 맞게 구현하면 될 것 같습니다.

0

세션에 굳이 id필드나 로그인 아이디를 담아줄 필요가 있을까 싶네요.

세션에서 데이터를 조회하지 못하면, 로그인이 되지 않았다 판단하면 됩니다.

또, 로그인이 되지 않았다면, 유효한 userCredential을 제공하지 않은 것이므로, 이를 굳이 서버에 저장하는 것은 메모리 낭비가 아닐까 싶습니다.

감사합니다.