web.xml 설정

🔹 web.xml 설정에서 COOKIE 기반 세션 추적이 IP로 접근 시 문제를 일으키는 이유

위 web.xml 설정이 IP를 사용한 접근에서 에러를 발생시키는 이유는 secure 속성 때문입니다.

---

1️⃣ 설정 분석

<session-config>
    <session-timeout>65</session-timeout>
    <tracking-mode>COOKIE</tracking-mode>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>

🔹 설명:

• <tracking-mode>COOKIE</tracking-mode>
  → 세션을 URL 파라미터 (jsessionid) 대신, 쿠키(COOKIE 기반 세션)를 사용하여 유지
• <http-only>true</http-only>
  → JavaScript에서 쿠키 접근 불가 (보안 강화)
• <secure>true</secure>
  → HTTPS에서만 쿠키 전송 가능

---

2️⃣ IP 접근 시 에러 발생 원인

IP로 접근할 때 HTTPS가 아닌 경우, secure="true" 설정 때문에 쿠키가 전송되지 않으면서 문제가 발생할 수 있습니다.

📌 IP 접근 vs 도메인 접근

접근 방식 HTTPS 사용 동작 여부

https://example.com	✅	정상 작동
http://example.com	❌	세션 쿠키 미전송 (로그인 안 됨)
https://192.168.0.1	✅	정상 작동
http://192.168.0.1	❌	세션 쿠키 미전송 (에러 발생 가능)

📌 예상되는 에러

1. 로그인 유지 안 됨 (sessionId 쿠키가 전송되지 않음)
2. 세션이 계속 초기화됨
3. 403 Forbidden 또는 Session Expired 에러

---

3️⃣ 해결 방법

✅ (1) HTTPS를 사용하여 IP 접근

• secure="true"는 HTTPS에서만 쿠키 전송을 허용하므로,
  → IP 접근 시에도 HTTPS를 사용해야 함

✅ (2) secure 속성을 제거 (비추천)

<cookie-config>
    <http-only>true</http-only>
    <!-- secure 설정을 제거하면 HTTP에서도 쿠키 사용 가능 -->
</cookie-config>

📌 주의:

• secure="true"를 제거하면 보안이 약해질 수 있음
• 로그인 쿠키가 HTTP에서도 전송되므로 스니핑(가로채기) 위험이 있음

✅ (3) 개발 환경에서는 SESSION을 URL 기반으로 변경 (임시)

IP로 접근할 필요가 있는 경우, 개발 환경에서는 URL 세션 사용 가능

<tracking-mode>URL</tracking-mode>

🔹 단점:

• URL에 jsessionid가 포함되므로 보안 취약점 존재 (세션 하이재킹 가능성)
• 권장되지 않으며, 임시 개발 환경에서만 사용

---

🚀 결론

1️⃣ HTTPS를 사용하여 접근 (추천 ✅)
2️⃣ 개발 환경에서는 secure 속성을 임시로 제거 가능 (보안 문제 발생 가능)
3️⃣ URL 기반 세션 사용은 권장되지 않음 (보안 취약점)

🔹 해결 방법 중 어떤 것이 필요하신가요? 😊