- JSESSIONID와 tracking-mode 설정 방식
tracking-mode는 Java EE (Jakarta EE) 웹 애플리케이션에서 세션 ID를 클라이언트와 주고받는 방식을 설정하는 속성이다. 즉, JSESSIONID를 어떻게 전달할지 결정하는 역할.
- tracking-mode 설정 방식
1) cookie (기본값)
- JSESSIONID를 쿠키를 통해 전달하는 방식
- 가장 일반적이고 보안이 우수함
- 브라우저가 쿠키를 차단하면 세션이 유지되지 않음
- 설정 방법 (web.xml에서 설정)
<session-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>2) url (URL 리라이트)
- JSESSIONID를 URL에 추가하는 방식
- 쿠키를 지원하지 않는 환경에서도 세션 유지 가능
- 하지만 보안 취약점(Session Hijacking 등)이 있음
예제 URL (URL 리라이트 사용 시)
https://example.com/home;jsessionid=ABC123XYZ
- 설정 방법 (web.xml에서 설정)
<session-config>
<tracking-mode>URL</tracking-mode>
</session-config>3) ssl (HTTPS 세션 ID)
- SSL 세션을 통해 세션을 유지하는 방식
- JSESSIONID를 쿠키나 URL에 저장하지 않고, SSL 자체 세션을 활용
- 클라이언트가 세션을 계속 유지하려면 HTTPS를 사용해야 함
- 사용하려면 서버가 SSL을 지원해야 함
- 설정 방법 (web.xml에서 설정)
<session-config>
<tracking-mode>SSL</tracking-mode>
</session-config>4) Java 코드로 tracking-mode 설정
import javax.servlet.SessionTrackingMode;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebListener;
import javax.servlet.ServletContextListener;
@WebListener
public class SessionConfigListener implements ServletContextListener {
@Override
public void contextInitialized(ServletContextEvent sce) {
ServletContext context = sce.getServletContext();
context.setSessionTrackingModes(Collections.singleton(SessionTrackingMode.COOKIE)); // 쿠키 방식
}
}- 어떤 tracking-mode를 써야 할까?
| tracking-mode | 설명 | 장점 | 단점 |
| COOKIE | JSESSIONID를 쿠키로 전달 | 보안이 좋음, 추천 방식 | 쿠키 차단 시 문제 발생 |
| URL | JSESSIONID를 URL에 포함 | 쿠키 미지원 환경에서 사용 가능 | 세션 하이재킹 위험 |
| SSL | HTTPS 세션을 활용 | 쿠키/URL 없이 안전한 세션 유지 | HTTPS 필수, 설정이 복잡함 |
- 추천 설정
- 가능하면 COOKIE 방식 사용
- 보안상 URL 방식은 가급적 사용하지 않기
- HTTPS 기반이라면 SSL 방식 고려
[study] URL 리라이트(URL Rewriting)란 무엇인가? [JSESSIONID를 URL에 포함하는 방식]
- URL 리라이트(URL Rewriting)란 무엇인가? 쿠키를 사용할 수 없는 환경에서도 세션을 유지하기 위해 JSESSIONID를 URL에 포함하는 방식- 왜 URL 리라이트를 사용하는 걸까?1) 쿠키 비활성화 환경 지원
yermi.tistory.com