이메일 인증 보완
- 인증을 신청한 기기 이외의 기기에서도 인증 답변 메일 확인
- 이메일에 인증용 암호 문자열을 전달
- 이메일 수신자가 메일을 열고 링크 클릭 > 암호 문자열을 다시 서버로
- 이메일을 보낼 때의 서버측 메소드와 암호 문자열을 다시 받을 때의 메소드는 다르다
- 이용자의 세션에 암호 문자열을 기억시키고 돌아왔을 때의 암호 문자열 비교
- 위의 절차가 모두 동일 시스템에서 실행된다면 아무런 문제가 없다
- 다른 시스템에서 실행된다면 문제가 발생한다(한개의 세션이 아닌 상황이 된다)
이메일 인증시 메일 내용에 암호 문자열, 세션 아이디를 함께 보낸다
String sid = session.getId();
String authrStr = UUID.randomUUID().toString().replaceAll("-","");
<a href="ipaddress/email=/auth?sid="+sid+"&auth="+authStr+"">인증하기</a>
세션이 생성될 때마다 인지하여 컬렉션에 세션을 저장한다
- HttpSessionListener를 등록한다
- 세션이 생성될 때마다 Map<String,HttpSession> 컬렉션에 세션을 저장한다
컨트롤러에서 세션이 저장된 컬렉션을 사용하여 모든 세션에 접근할 수 있다
- @PathVariable("sid") String sid, @PathVariable("auth") String auth
- HttpSession ss = map.get(sid);
- String authStr = ss.getAttribute("auth");
- if (auth.equals(authStr)) { // 인증 성공 }
@WebListener // 웹 감청기, 웹에서 발생하는 어떤 이벤트를 감청하고 있는 클래스
public class HttpSessionHandler implements HttpSessionListener {
public static Map<String, HttpSession> map = new HashMap<>();
@Override
public void sessionCreated(HttpSessionEvent se) {
HttpSession s = se.getSession();
String sid = s.getId();
map.put(sid, s);
}
@Override
public void sessionDestroyed(HttpSessionEvent se) {
HttpSession s = se.getSession();
map.remove(s.getId());
}
}
컨트롤러에서 위의 map에 접근하고 사용하기
HttpSession original = HttpSessionHandler.map.get(sid);
HttpSession의 작동 원리
- Cookie