[JSP] session(세션)을 이용한 로그인

우리가 일반적으로 사용하는 회원 로그인등을 구현할때 많이 사용되는것이 세션(session) 객체이다.

사용자의 로그인 정보를 쿠키나 세션등에 저장하여 로그인 여부를 확인할 수 있는데, 클라이언트에 저장되는 쿠키와는 달리
세션(session) 정보는 웹 서버(컨테이너)에 저장이 되므로 보안상 더 유리하다.

위와 같은 이유로 많은 사람들이 로그인 구현시 세션(session)을 활용하여 많이 구현한다.
세션은 클라이언트의 브라우저 1개당 1개씩 생성이 되며, 동일 클라이언트(동일 PC)라 할지라도 브라우저 종류(FF,Chrome,IE)가 다르면 세션을 추가로 생성하는게 가능하다.

이 경우 특별한 로그인 방식을 취하지 않으면 여러 브라우저에서 동시 로그인이 가능하다는 이야기가 된다.


JSP에서의 세션은 javax.servlet.http 의 HttpSession을 사용하며, JSP의 request, response와 마찬가지로 기본 내장객체로 지정되어 있어 별도의 구현없이 손쉽게 사용이 가능하다.


세션(session) 객체에서 사용할 수 있는 메소드는 다음과 같다.

Method	Return	Description
setAttribute(String name, Object value)	void	세션 객체를 생성한다
getAttribute(String name)	Object	해당 세션 객체를 가져온다
getAttributeNames()	Enumeration	해당 세션 이름 전체를 가져온다.
setMaxInactiveInterval(int interval)	void	세션 유지시간을 지정한다.(초 단위)
removeAttribute(String name)	void	세션 객체를 삭제한다.
getMaxInactiveInterval()	int	세션 유지시간을 가져온다
getId()	String	세션 고유 ID를 가져온다
invalidate()	void	전체 세션을 무효화 시킨다.

사실 세션에서 중요한 것은 getId() 부분이다. 위에서 말했듯이 클라이언트의 브라우저 1개당 고유 세션이 생성되는데,

이때 해당 세션을 구분할수 있게끔 하는것이 세션고유ID 이다. 이 고유ID는 처음 세션이 생성되는 시점에 자동으로 생성이 된다.

그렇기 때문에 setAttribute를 이용하여 여러 세션을 만들어도 세션고유ID에 종속되므로 각기 다른 사용자들의 세션을 구분할 수 있는것이다.

마지막으로 jsp 페이지에서의 세션은 아래와 같이 사용하면 된다.

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<%
	String id = "홍길동" ;
	String addr = "서울" ;


	// 세션 생성
	session.setAttribute("name", id) ;
	session.setAttribute("addr", addr) ;


	// 세션 유지시간 설정(예 : 1시간)
	session.setMaxInactiveInterval(60*60)

	// 세션값 가져오기
	out.println(session.getAttribute("name");
	out.println(session.getAttribute("addr");


	// 세션값 삭제
	session.removeAttribute("addr")


	// 세션값 가져오기
	out.println(session.getAttribute("name");

	// 세션을 삭제했으므로 addr은 안나옴
	out.println(session.getAttribute("addr");



	// 세션 전체 무효화(로그아웃시 주로 사용)
	session.invalidate();

%>