Colin's Blog
[java] Apache Shiro의 세션 관리 기능

Apache Shiro는 세션 관리 기능을 제공하여 안전하고 효율적인 웹 애플리케이션을 구축하는 데 도움을 줍니다. 세션은 웹 애플리케이션 내에서 사용자의 상태를 유지하고 추적하는 데 사용되며, Apache Shiro의 세션 관리 기능은 이를 쉽게 처리할 수 있도록 도와줍니다.

1. Apache Shiro 세션 관리 설정하기

Apache Shiro에서 세션 관리를 사용하려면 다음과 같이 설정해야 합니다:

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.web.servlet.ShiroFilter;

public class Application {

    public static void main(String[] args) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        
        // 세션 만료 시간 설정
        sessionManager.setGlobalSessionTimeout(1800000); // 30분
        
        // 세션 관리자를 Shiro SecurityManager에 등록
        SecurityManager securityManager = new DefaultSecurityManager();
        ((DefaultSecurityManager) securityManager).setSessionManager(sessionManager);
        
        // ShiroFilter에 SecurityManager 등록
        ShiroFilter filter = new ShiroFilter();
        filter.setSecurityManager(securityManager);
        
        // 필터를 사용하여 설정된 세션 관리 기능 활성화
        // ...
    }
}

위의 코드에서는 DefaultWebSessionManager를 사용하여 세션 관리를 설정합니다. setGlobalSessionTimeout 메서드를 사용하여 세션의 만료 시간을 지정할 수 있습니다. 이 예제에서는 30분으로 설정하였습니다. DefaultSecurityManagersessionManager를 등록하여 세션 관리자를 설정한 후, ShiroFiltersecurityManager를 등록하여 필터를 사용하여 세션 관리 기능을 활성화합니다.

2. Apache Shiro 세션 관리 기능 활용하기

Apache Shiro의 세션 관리 기능을 활용하는 방법은 다양합니다. 몇 가지 예시를 살펴보겠습니다:

세션 정보 가져오기

사용자의 세션 정보를 가져오려면 다음과 같이 Session 객체를 사용하면 됩니다:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.session.Session;

public class UserController {

    public void getUserSession() {
        // 현재 사용자의 세션 가져오기
        Session session = SecurityUtils.getSubject().getSession();
        
        // 세션 정보 확인
        String username = (String) session.getAttribute("username");
        // ...
    }
}

위의 코드에서는 SecurityUtils.getSubject().getSession()을 사용하여 현재 사용자의 세션을 가져올 수 있습니다. 세션 객체를 사용하여 필요한 정보를 확인할 수 있습니다.

세션 만료 설정하기

세션의 만료 시간을 설정하려면 DefaultWebSessionManagersetSessionValidationSchedulerEnabled 메서드를 사용합니다:

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

public class Application {

    public static void main(String[] args) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        
        // 세션 만료 시간 설정
        sessionManager.setGlobalSessionTimeout(1800000); // 30분
        
        // 세션 유효성 검사 스케줄러 사용
        sessionManager.setSessionValidationSchedulerEnabled(true);
        
        // ...
    }
}

위의 코드에서는 setSessionValidationSchedulerEnabled 메서드를 true로 설정하여 세션의 유효성을 주기적으로 검사하도록 설정한 후, DefaultWebSessionManager에 등록합니다.

결론

Apache Shiro의 세션 관리 기능은 웹 애플리케이션의 세션을 효과적으로 관리하고 유지할 수 있도록 도와줍니다. 이 기능을 사용하여 세션의 만료 시간을 설정하고 세션 정보를 가져오는 등의 작업을 수행할 수 있습니다. Apache Shiro의 다양한 기능을 활용하여 웹 애플리케이션의 보안을 강화할 수 있습니다.

참고 자료:

© 2018 Colin. All rights reserved.