중요한 역할을 하는 필터이다.

• 세션 변조 방지 전략 설정
• 유효하지 않은 세션을 redirect 시킬 url 설정
• 동시성 제어
• 세션 생성 전략

세션 변조

• 인증때 마다 session id를 변경해 주어야 한다.
• changeSessionId (서블릿 3.1+ 사용시 지원하고 기본값)
  • 세션을 새로 만들지 않으니까 좀더 빠르지 않을까
• migrateSession (서블릿 3.0- 기본값)
  • 인증 되었을 때 새로운 세션을 만들고 기존 값 attribute들을 복사해 오는 방법

버전 참고

스프링 부터 2.1은 기본 톰캣 버전 9

유효하지 않은 세션 redirect url

http.sessionManagement().invalidSessionUrl("/login");