[study] JSESSIONID와 tracking-mode 설정 방식 [클라이언트와 세션 ID를 주고받는 방식을 설정하는 속성]

---

- JSESSIONID와 tracking-mode 설정 방식

tracking-mode는 Java EE (Jakarta EE) 웹 애플리케이션에서 세션 ID를 클라이언트와 주고받는 방식을 설정하는 속성이다. 즉, JSESSIONID를 어떻게 전달할지 결정하는 역할.

---

- tracking-mode 설정 방식

1) cookie (기본값)

• JSESSIONID를 쿠키를 통해 전달하는 방식
• 가장 일반적이고 보안이 우수함
• 브라우저가 쿠키를 차단하면 세션이 유지되지 않음

- 설정 방법 (web.xml에서 설정)

<session-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

---

2) url (URL 리라이트)

• JSESSIONID를 URL에 추가하는 방식
• 쿠키를 지원하지 않는 환경에서도 세션 유지 가능
• 하지만 보안 취약점(Session Hijacking 등)이 있음

예제 URL (URL 리라이트 사용 시)
https://example.com/home;jsessionid=ABC123XYZ

---

- 설정 방법 (web.xml에서 설정)

<session-config>
    <tracking-mode>URL</tracking-mode>
</session-config>

---

3) ssl (HTTPS 세션 ID)

• SSL 세션을 통해 세션을 유지하는 방식
• JSESSIONID를 쿠키나 URL에 저장하지 않고, SSL 자체 세션을 활용
• 클라이언트가 세션을 계속 유지하려면 HTTPS를 사용해야 함
• 사용하려면 서버가 SSL을 지원해야 함

- 설정 방법 (web.xml에서 설정)

<session-config>
    <tracking-mode>SSL</tracking-mode>
</session-config>

---

4) Java 코드로 tracking-mode 설정

import javax.servlet.SessionTrackingMode;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebListener;
import javax.servlet.ServletContextListener;

@WebListener
public class SessionConfigListener implements ServletContextListener {
    @Override
    public void contextInitialized(ServletContextEvent sce) {
        ServletContext context = sce.getServletContext();
        context.setSessionTrackingModes(Collections.singleton(SessionTrackingMode.COOKIE)); // 쿠키 방식
    }
}

---

- 어떤 tracking-mode를 써야 할까?

tracking-mode	설명	장점	단점
COOKIE	JSESSIONID를 쿠키로 전달	보안이 좋음, 추천 방식	쿠키 차단 시 문제 발생
URL	JSESSIONID를 URL에 포함	쿠키 미지원 환경에서 사용 가능	세션 하이재킹 위험
SSL	HTTPS 세션을 활용	쿠키/URL 없이 안전한 세션 유지	HTTPS 필수, 설정이 복잡함

 

---

 

- 추천 설정

• 가능하면 COOKIE 방식 사용
• 보안상 URL 방식은 가급적 사용하지 않기
• HTTPS 기반이라면 SSL 방식 고려

---

[study] URL 리라이트(URL Rewriting)란 무엇인가? [JSESSIONID를 URL에 포함하는 방식]

---