신강희 | Backend Developer Blog https://KKangHHee.github.io/blog 신강희 | Backend Developer Blog Wed, 10 Dec 2025 00:00:00 GMT https://validator.w3.org/feed/docs/rss2.html https://github.com/jpmonette/feed ko <![CDATA[이메일 발송 API 응답 속도 개선: Spring Event와 비동기 처리]]> https://KKangHHee.github.io/blog/spring-event-async-email-optimization https://KKangHHee.github.io/blog/spring-event-async-email-optimization Wed, 10 Dec 2025 00:00:00 GMT

SMTP 동기 호출로 인해 2.5초 걸리던 인증 API를
Spring Event와 @Async를 활용한 비동기 처리로 응답 시간을 0.2초로 단축하고, 처리량을 향상시킨 과정입니다.

1. 문제 상황(동기 블로킹 방식)

초기 코드

  • 처음에는 저장-발송에만 초점을 맞춰 아래와 같은 방식으로 구현했습니다.
public class VerificationService {

    public void createAndSendCode(String email, VerificationType type) {
        // 1. 인증 코드 생성 및 Redis 저장 (0.1초)
        String code = generateRandomCode();
        redisService.saveCode(email, code, type);

        // 2. 이메일 발송 - SMTP 서버 응답 대기
        emailService.sendVerificationCode(email, code, type);
    }
}

문제점

  • JavaMailSender.send() 메서드는 Sync-Blocking방식
    1. SMTP 서버가 응답할 때까지 API 요청 스레드가 대기(블로킹)
    2. 사용자 대기 시간 증가 (UX 악화)
    3. 동시 요청 시 처리량 감소
    4. SMTP 서버 장애 시 API 전체가 영향

2. 핵심 개념 정리

해결에 앞서 필요한 동기/비동기, 블로킹/논블로킹, 그리고 ThreadPool의 개념을 먼저 정리하겠습니다.

1) 동기 vs 비동기 (제어권의 관점)

  • Sync-Blocking: 호출한 스레드가 작업이 끝날 때까지 제어권을 잃고 대기

  • Async-NonBlocking: 작업을 다른 스레드에 위임하고 즉시 제어권을 반환

  • 시간이 걸리는 작업의 경우, Async-NonBlocking방식을 통해 작업을 던지고 제어권을 바로 받아야 합니다.

2) ThreadPool이란?

  • 요청마다 새로운 스레드를 생성하면,
  • 스레드 생성 비용 + 컨텍스트 스위칭 비용으로 인해 성능 저하가 발생

→ 이를 해결하기 위해 미리 만든 스레드를 재사용하는 구조가 ThreadPool

장점:

  1. 느슨한 결합: Service는 이메일을 어떻게 보내는지 몰라도 됨
  2. 확장성: 다른 작업에 대해 리스너만 하나 더 만들면 끝
  3. 장애 격리: 이메일 실패해도 코드 생성은 성공

3) Event-Driven Architecture 적용

  • Spring의 ApplicationEventPublisher를 사용하여 비즈니스 로직(인증 코드 생성)과 부가 로직(이메일 발송)을 분리합니다.

  • 발행(Publish):

    서비스 계층에서 특정 이벤트를 publishEvent()를 통해 트리거 합니다.
    이벤트 처리 여부와 상관없이 즉시 응답을 반환합니다.

  • 구독(Subscribe):

    @EventListener를 통해 특정 이벤트가 트리거 되면 이에 대한 처리를 합니다.

  • 비동기화(Async):

    리스너 메서드에 @Async를 통해 비동기 작업임을 명시하고,
    커스텀하여, 메인 스레드가 아닌 별도의 워커 스레드로 처리함을 명시합니다.

  • Before: Service가 직접 이메일 발송

  • After: Service는 "인증 코드 생성됨" 이벤트만 발행

3. 해결과정

1) 이벤트 클래스

우리가 처리할 작업의 트리거가 될 Event를 먼저 생성합니다.

public class VerificationCodeCreatedEvent extends ApplicationEvent {
    private final String email;
    private final String code;
    private final VerificationType type;

    public VerificationCodeCreatedEvent(
        Object source,
        String email,
        String code,
        VerificationType type
    ) {
        super(source);
        this.email = email;
        this.code = code;
        this.type = type;
    }

    // getters
}

2) 이벤트 발행 (Service 계층)

비즈니스 작업을 처리하던 기존의 Sevice계층에서는
이제 이벤트 처리에 대한 내용을 알 필요가 없습니다.
단지, 이벤트를 던지기만 합니다.

@Service
@RequiredArgsConstructor
public class VerificationService {
    private final ApplicationEventPublisher eventPublisher;
    private final RedisService redisService;

    public void createAndSendCode(String email, VerificationType type) {
        // 1. Redis에 인증 코드 저장 (동기)
        String code = generateRandomCode();
        redisService.saveCode(email, code, type);

        // 2. 이벤트 발행 (비동기)
        eventPublisher.publishEvent(
            new VerificationCodeCreatedEvent(this, email, code, type)
        );
    }
}

3) 이벤트 리스너 (비동기 처리)

@Async()어노테션에 추가로 ThreadPoolTaskExecutor를 설정하여 메인 스레드가 아닌 워커 스레드를 할당 합니다.

@Component
public class VerificationCodeEventListener {
    private final EmailService emailService;

    @Async("emailTaskExecutor")  // 별도 스레드 풀에서 실행
    @EventListener
    public void handleVerificationCodeCreated(
        VerificationCodeCreatedEvent event
    ) {
        try {
            emailService.sendVerificationCode(
                event.getEmail(),
                event.getCode(),
                event.getType()
            );
        } catch (Exception e) {
            // 실패 시 재시도 로직 또는 알림 처리
        }
    }
}

4) ThreadPoolTaskExecutor 설정

  • CorePoolSize (기본 스레드 수)

  • MaxPoolSize (최대 스레드 수)

  • QueueCapacity (대기 큐 크기)

  • RejectedExecutionHandler:

    • 최대 스레드까지 다 쓰고 큐도 꽉 찼을 때 어떻게 할지 결정합니다.
    • AbortPolicy (기본값): 예외를 던지고 작업을 버립니다.
    • CallerRunsPolicy: 큐가 꽉 차면 이벤트를 발행한 메인 스레드가 직접 처리합니다.

  • ThreadNamePrefix:

    • 디버깅을 위한 네이밍입니다.
@Configuration
@EnableAsync
public class AsyncConfig {

    @Bean(name = "emailTaskExecutor")
    public Executor emailTaskExecutor() {
        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor();
        executor.setCorePoolSize(2);        // 기본 스레드 수
        executor.setMaxPoolSize(5);         // 최대 스레드 수
        executor.setQueueCapacity(100);     // 대기 큐 크기
        executor.setThreadNamePrefix("email-async-");
        executor.setRejectedExecutionHandler(new ThreadPoolExecutor.CallerRunsPolicy());  // 큐가 꽉 찼을 때: 호출한 스레드가 직접 실행
        executor.initialize();
        return executor;
    }
}

ThreadPool 설정

  • 이메일 발송은 CPU 연산보다 SMTP 서버와의 I/O 대기 시간이 긴 작업이기 때문에
  • 스레드 수를 크게 잡지 않고 초기 설정 단계이므로 값을 최소화했습니다.

왜 ThreadPoolTaskExecutor를 별도로 관리해야 하는가?

ThreadPool의 설정은 단순히 몇 개의 스레드를 돌릴지의 문제가 아닌 자원의 배분에 대한 설정입니다.
단순히 @Async만 사용하고 설정을 생략하면,
스프링은 기본적으로 SimpleAsyncTaskExecutor를 사용합니다.

  • SimpleAsyncTaskExecutor의 위험성

    • 요청마다 새로운 스레드 생성
    • 스레드 재사용 X
    • 트래픽 증가 시, OOM이 발생 가능

  • ThreadPool을 별도로 관리하여

    • 메인 스레드와 워커 스레드를 구분하여, 장애 격리
    • CorePoolSizeMaxPoolSize를 통해 알맞는 자원 할당
    • QueueCapacity를 통해 대기 작업을 안전하게 보관

5) 성능 측정

측정 방법

  • 테스트 환경: 로컬 Docker + Redis + Gmail SMTP / JMeter
  • JMeter로 동시 사용자 50명, 각 10회 요청
  • API: POST /api/auth/email/verification
항목Before (동기)After (비동기)개선율
평균 응답시간2.5초0.2초92% ↓
95 percentile3.2초0.3초90% ↓
처리량 (TPS)10 req/s100+ req/s10배 ↑
동시 처리 가능 수10명100명+10배 ↑

보완점

1) 이벤트 발행 시, 트랜잭션 문제

@Transactional
public void createAndSendCode(String email, VerificationType type) {
    String code = generateRandomCode();
    redisService.saveCode(email, code, type);  // 1) DB 저장

    eventPublisher.publishEvent(
        new VerificationCodeCreatedEvent(this, email, code, type)
    );
}
  • 이벤트 발행 직후, 예외 발생 시 롤백
  • 작업 1)이 무시되어, 코드가 없는 이메일이 발송

해결책

@Component
public class VerificationCodeEventListener {
    private final EmailService emailService;

    @Async("emailTaskExecutor")  // 별도 스레드 풀에서 실행
    @TransactionalEventListener(phase = TransactionPhase.AFTER_COMMIT)
    public void handleVerificationCodeCreated(
        VerificationCodeCreatedEvent event
    ) {
        try {
            emailService.sendVerificationCode(
                event.getEmail(),
                event.getCode(),
                event.getType()
            );
        } catch (Exception e) {
            // 실패 시 재시도 로직 또는 알림 처리
        }
    }
}
  • 단순히 @EventListener어노테이션이 아닌,
  • @TransactionalEventListener을 사용하여 이메일 발송이 DB 저장보다 먼저 실행되는 문제를 방지
    • 트랜잭션이 커밋된 이후에만 이벤트를 처리하기 때문

주의점

  • @Async@Transactional은 Spring AOP 기반으로 동작
  • 자가 호출 시 동작하지 않음
    • 동일 클래스 내의 메서드 호출 시,
    • 프록시 객체를 거치지 않아 @Async가 동작하지 않으므로,
    • 반드시 리스너 클래스를 별도의 @Component로 분리하여 빈 주입을 통해 호출해야 함

2) 재시도 로직 없음

SMTP 서버 장애에 대한 대응이 없음

해결책

handleVerificationCodeCreated에 반복문 + try-catch를 사용하여 시도횟수 및 실패횟수 카운팅 및 재시도 로직 추가 필요

3) 메세지 유실 방지

현재 구조는 메인 서버가 죽으면 이벤트가 초기화
[이벤트 발행] → [메모리 큐] → [서버 셧다운] → 이벤트 유실

해결책

  • RabbitMQ, Kafka 같은 메시지 브로커 사용
  • Dead Letter Queue(DLQ)로 실패한 메시지 별도 관리

참고 자료

]]> <![CDATA[레디스는 싱글스레드인데 왜 동시성 제어가 필요할까?]]> https://KKangHHee.github.io/blog/redis-concurrency https://KKangHHee.github.io/blog/redis-concurrency Tue, 21 Oct 2025 00:00:00 GMT 프로젝트 GitHub

Redis는 싱글 스레드 기반으로 동작합니다.
그런데 Redis를 사용할 때 동시성 제어 이야기가 나오는 걸 보고 의문이 생겼습니다.

"싱글 스레드인데, 왜 Race Condition이 생기지?"

이 글에서는 이전 프로젝트에서 발견한 의문점을 바탕으로
✔ Redis의 싱글 스레드 구조
✔ 동시성 문제가 발생하는 근본 원인
✔ Docker Compose로 검증한 Before/After 비교
✔ 안전하게 사용하는 방법을 기록합니다.

1. Redis란 무엇인가?

Redis(Remote Dictionary Server)는 메모리 기반 Key-Value 저장소입니다.

✔ 핵심 특징

특징설명
In-MemoryRAM 기반으로 디스크보다 매우 빠름
Key-Value 구조단순한 데이터 모델로 빠른 접근
싱글 스레드이벤트 루프 기반으로 한 번에 하나의 명령만 처리
다양한 자료구조String, Hash, List, Set, Sorted Set 등 지원

✔ 주요 사용처

  • 캐시: DB 부하 감소 (조회 성능 향상)
  • 세션 관리: 로그인 상태 유지
  • 인증 코드: 이메일/SMS 인증번호 저장
  • 실시간 카운팅: 조회수, 좋아요 등

2. Redis의 싱글 스레드 모델

✔ Redis 내부 동작 방식

┌─────────────┐
│ Client A    │───┐
└─────────────┘   │

┌─────────────┐   ┌──────────────────┐
│ Client B    │─▶│  Command Queue   │
└─────────────┘   └──────────────────┘

┌─────────────┐           ▼
│ Client C    │───▶┌──────────────┐
└─────────────┘     │ Event Loop   │ ← 싱글 스레드
                    │ (한 번에 1개) │
                    └──────────────┘

내부적으로 이벤트 루프 기반 싱글 스레드로, 명령을 처리

  1. 클라이언트 요청이 큐에 쌓임
  2. Redis는 한 번에 하나의 명령만 처리(각 명령은 원자적)

→ 따라서 INCR, HINCRBY 같은 단일 명령이 중요

3. 그럼 왜 동시성 문제가 생길까?

문제: "애플리케이션 레벨의 분리된 연산"

Redis 자체는 싱글 스레드이므로 각 명령은 원자적으로 처리됩니다. 하지만 비즈니스 로직이 GET → Application 계산 → SET 순서로 분리되어 있다면, 이 사이에는 다른 서버의 요청이 끼어들 수 있는 Race Window가 발생합니다.

  • 비교 프로젝트를 통해 알아보도록 하겠습니다.
  • 환경은 이메일을 키로 하여, 동일 환경에서 Read-Modify-Write와 HINCRBY와 같은 단일 처리로 나눠서 비교하였습니다.

잘못된 구조 (Before)

GET count
+1
SET count
  • 여러 서버 인스턴스가 동시에 실행되면
  • 같은 키의 값을 바꾼다 할때,

image

Docker Compose로 2대 서버 + 12번 병렬 요청을 보냈을 때: Lost Update 발생

  • Redis는 싱글 스레드지만 애플리케이션은 멀티 인스턴스
  • 그래서 RMW 구조는 Lost Update 문제 발생 가능

해결: Redis 원자 연산 사용

Redis의 원자 연산 명령

명령어용도예시
INCR / INCRBY숫자 증가조회수, 좋아요 카운트
HINCRBYHash 내부 값 증가사용자별 시도 횟수 관리
SETNX최초 1회만 설정분산 락 구현
Lua Script여러 명령을 하나로 묶음복잡한 조건부 로직

선택 기준

단순 증가만 필요 → INCR / INCRBY
여러 항목 관리 → HINCRBY (Hash 구조)
조건부 복잡 로직 → Lua Script

해결 구조 (after)

        Long currentAttempts = redisTemplate.opsForHash().increment(key, "attemptCount", 1);
  • Redis 내부에서 단일 명령으로 처리: HINCRBY email:attempts user@example.com 1

image

Docker Compose로 2대 서버 + 12번 병렬 요청을 보냈을 때: 정확한 카운팅

  • 단일 명령이므로 Redis의 싱글 스레드 특성상 절대 중간에 끼어들 수 없음
  • 분산 환경(여러 서버)에서도 안전

4. 정리

항목내용
문제Redis는 싱글 스레드지만, 애플리케이션의 분리된 연산에서 Race Condition 발생
원인Read-Modify-Write은 3단계가 분리되어 있음
해결HINCRBY 같은 원자 연산 사용
검증Docker Compose로 2대 서버 환경에서 12번 요청 테스트 완료
  • Redis를 사용한다고 해서 자동으로 동시성 문제가 해결되는 건 아닙니다.
  • Read-Modify-Write 방식으로 구현하면 여전히 Race Condition이 발생할 수 있습니다.
  • 트랜잭션 처리처럼 잘 묶어서 올바르게 사용하는 게 중요합니다.
]]> <![CDATA[이메일 인증에서 Redis가 강점을 갖는 이유: TTL과 원자 연산]]> https://KKangHHee.github.io/blog/redis-email-verification https://KKangHHee.github.io/blog/redis-email-verification Fri, 10 Oct 2025 00:00:00 GMT

"이메일 인증 코드는 왜 DB가 아닌 Redis에 저장할까?"

1. 이메일 인증의 요구사항

비즈니스 요구사항

항목요구사항이유
빠른 응답빠른 응답사용자 경험 (UX)
자동 만료5~10분 후 삭제보안과 메모리 절약
시도 제한5회 초과 시 차단무차별 대입 공격 방지
일시성인증 완료 후 즉시 삭제개인정보 최소 보관

DB vs Redis 비교

기준MySQL/PostgreSQLRedis
읽기 속도상대적으로 느림(디스크 I/O)상대적으로 빠름(메모리)
TTL 지원✅ (자동 만료)
동시성Row Lock 필요원자 연산 기본 지원
영속성장기 보관RDB/AOF로 백업 가능
  • 일시적 데이터 + 빠른 속도 + 자동 만료에서는 Redis가 압도적 우위

2. Redis TTL

DB로 구현 시

CREATE TABLE email_codes (
    email VARCHAR(255),
    code VARCHAR(10),
    expired_at TIMESTAMP
);
  • 조회할 때마다 expired_at > NOW() 조건 체크
  • 배치 작업으로 수동 삭제 필요 (코드 + 스케줄러 설정)
  • 만료된 데이터가 즉시 삭제되지 않음 (디스크 공간 낭비)

redis의 경우

// 인증 코드 저장 + 10분 TTL 설정
redisTemplate.opsForValue()
    .set("email:code:" + email, code, 10, TimeUnit.MINUTES);

Redis가 빠른 이유

  • MySQL: 요청 → 디스크 I/O → 인덱스 검색 → Row Lock → 결과 반환

  • Redis: 요청 → 메모리 해시 조회 → 결과 반환

3. Redis를 통한 이메일 인증 구현

데이터 구조 설계

Key: email:verification:{email}

Fields:
  - code: "A1B2C3"
  - attempts: 3
  - created_at: "2025-01-27T10:30:00"

Hash 구조의 장점

  • 데이터 응집도: 같은 이메일의 모든 정보를 한 곳에 관리
  • 부분 업데이트: code는 그대로 두고 attempts만 증가 가능
  • 메모리 효율: 작은 Hash는 Ziplist로 압축되어 메모리 절약

코드 구현(java)

@Service
@RequiredArgsConstructor
public class EmailVerificationService {

    private static final String KEY_PREFIX = "email:verification:"; // 키 구조
    private static final int MAX_ATTEMPTS = 5; // 최대 횟수
    private static final int CODE_EXPIRY_MINUTES = 10; // 만료 시간

    private final RedisTemplate redisTemplate;

    // 1) 인증 코드 생성 및 저장(hash)
    public String generateCode(String email) {
        String code = generateRandomCode();
        String key = KEY_PREFIX + email;

        Map data = new HashMap<>();
        data.put("code", code);
        data.put("attempts", 0);
        data.put("created_at", LocalDateTime.now().toString());

        redisTemplate.opsForHash().putAll(key, data);
        redisTemplate.expire(key, CODE_EXPIRY_MINUTES, TimeUnit.MINUTES);

        return code;
    }

    // 2) 인증 코드 검증(Redis 자체)
    public boolean verify(String email, String inputCode) {
        String key = KEY_PREFIX + email;

        // 1. 키 존재 여부 확인
        if (!Boolean.TRUE.equals(redisTemplate.hasKey(key))) {
            throw new CodeExpiredException("인증 코드가 만료되었거나 존재하지 않습니다.");
        }

        // 2. 시도 횟수 증가
        Long attempts = redisTemplate.opsForHash()
            .increment(key, "attempts", 1);

        // 3. 최대 시도 횟수 체크
        if (attempts > MAX_ATTEMPTS) {
            throw new TooManyAttemptsException(
                "인증 시도 횟수가 초과되었습니다."
            );
        }

        // 4. 코드 일치 확인
        String storedCode = (String) redisTemplate.opsForHash()
            .get(key, "code");

        if (storedCode == null) {
            throw new CodeExpiredException("인증 코드가 만료되었습니다.");
        }

        boolean isValid = storedCode.equals(inputCode);

        // 5. 인증 성공 시 즉시 삭제
        if (isValid) {
            redisTemplate.delete(key);
        }

        return isValid;
    }

    // 3) 재발급 시, 이전 코드 무효화
    public String regenerateCode(String email) {
        String key = KEY_PREFIX + email;
        redisTemplate.delete(key);
        return generateCode(email);
    }

    // 4) IP당 1분에 2번 요청 가능
    public void checkRateLimit(String ip) {
        String key = "rate:limit:" + ip;
        Long requests = redisTemplate.opsForValue().increment(key);

        if (requests == 1) { // 첫 요청 시 TTL 설정
        redisTemplate.expire(key, 1, TimeUnit.MINUTES);
        }

        if (requests > 2) {
            throw new RateLimitExceededException("너무 많은 요청입니다. 1분 후 다시 시도하세요.");
         }
    }

    // 5) 인증코드 생성
    private String generateRandomCode() {
        return RandomStringUtils.randomAlphanumeric(6).toUpperCase();
    }
}

주의점 1) 만료된 키에 대한 increment

Long attempts = redisTemplate.opsForHash()
    .increment(key, "attempts", 1);
  • 인증 코드가 만료되어도 계속 검증 요청이 올 경우,
  • 위의 코드에서는 새로 키를 생성

결과:

  • code 필드는 없고 attempts 필드만 있는 생성
  • TTL도 없어서 영원히 메모리에 남음 (메모리 누수 발생)

해결

// 키 존재 여부 먼저 체크
if (!Boolean.TRUE.equals(redisTemplate.hasKey(key))) {
    throw new CodeExpiredException("인증 코드가 만료되었습니다.");
}

// 이후 increment 실행

주의점 2) Hash vs String 구조 비교

  • Hash 구조의 경우

    • 데이터 응집도 좋음 (한 곳에 모든 정보)
    • 코드와 시도 횟수는 같은 생명 주기
    • 부분 업데이트 효율적
    • 개별 필드에 다른 TTL을 걸 수 없음

  • String 구조의 경우

    • 필드마다 다른 TTL이 필요할 때만 고려

4. 정리

데이터의 생명 주기가 짧은 데이터(인증 코드)의 경우 redis가 최적임

  • 운영 효율성: 별도의 Batch 작업이나 스케줄러 없이도 TTL을 통해 만료 데이터를 자동 정리함
  • 성능 최적화: 인증 과정에서 발생하는 빈번한 쓰기/읽기 작업이 메모리 내에서 처리되어 DB 부하가 없음
  • 보안: 원자적 연산을 활용해 분산 환경에서도 정확한 카운팅 가능
  • 비용 절감: 일시적인 데이터를 위해 RDB의 커넥션과 저장 공간을 낭비하지 않음
]]> <![CDATA[복잡한 검색 쿼리, JPA vs MyBatis 성능 비교와 하이브리드 전략]]> https://KKangHHee.github.io/blog/jpa-mybatis-hybrid-strategy https://KKangHHee.github.io/blog/jpa-mybatis-hybrid-strategy Mon, 28 Apr 2025 00:00:00 GMT

"관리자 페이지의 복잡한 검색 기능 어떻게 구현할까?

이 글에서는 다양한 필터 조건을 가진 검색 기능을 구현하며 순수 JPA → Native Query → JPA Specification → MyBatis로 변환한 과정과 각 방식의 성능을 실측한 결과를 공유합니다.

1. 프로젝트 요구사항

관리자 페이지의 고객 검색 기능

비즈니스 요구사항:

  • 다양한 필터 조건 지원
    • 기간 필터 (가입일, 최종 로그인)
    • 계정 상태 (활성/비활성/잠김)
    • 권한별 필터
  • 키워드 검색 범위
    • 전체 검색 (이메일, 이름, 소속, 부서, 연락처)
    • 개별 필드 검색
  • 번호 기반 페이지네이션 (1, 2, 3... 페이지)

기술적 요구사항

성능 목표:

  • 따로 제한은 없었으나 느린 것을 피하고자 함

유지보수성:

  • 새로운 검색 조건 추가 용이
  • 쿼리 가독성 확보
  • 테스트 가능한 구조

2. 구현 과정

1단계: 순수 JPA Repository

public interface UserRepository extends JpaRepository {
    Page findByClientCompanyNameContaining(String companyName, Pageable pageable);
    Page findByLastLoginAtBetween(LocalDateTime start, LocalDateTime end, Pageable pageable);
}

문제점

  • 필터링 조건 마다
    • Repository 메서드 증가 (조건 N개 → 2^N개)
    • Service의 분기 처리 복잡
    • 가독성과 유지 보수성의 저하

2단계: Native Query

@Query 어노테이션 사용

문제점

  • Native Query를 사용하여,

    • DB 종속 (MySQL 전용)

    • 동적 조건 처리 (IS NULL OR) 비효율

    • 실행 계획 최적화 어려움

      • 실행 계획 분석:
          EXPLAIN SELECT u.*
          FROM user u
          WHERE :keyword IS NULL OR u.email LIKE CONCAT('%', :keyword, '%');
      • 문제점:
        • MySQL 옵티마이저는 IS NULL OR 조건을 최적화하지 못함
          • 인덱스를 사용하지 못하고 Full Table Scan 발생
          • 데이터가 늘어날수록 성능 저하

3단계: JPA Specification

Repository 확장:

// Specification 사용을 위해 상속만 추가
public interface UserRepository extends JpaRepository<User, Long>, JpaSpecificationExecutor<User> {}

Specification 구현:

public class UserSpecification {
    public static Specification<User> filterClients(
            LocalDate startDate,
            LocalDate endDate,
            String range,
            String keyword) {

        return (root, query, criteriaBuilder) -> {
            List<Predicate> predicates = new ArrayList<>();
	        ...
        }
    }
}

장점

  • Fetch Join을 동적으로 제어하여 N+1 문제를 해결
  • ORM 일관성 유지

단점

  • Java와 SQL 로직 혼재
  • 복잡한 쿼리 작성의 어려움
  • 쿼리 튜닝의 어려움
    • 실제 실행되는 SQL을 보려면 로그 확인 필요
    • 실행 계획 분석이 어려움
    • 인덱스 힌트 사용 불가

성능 테스트 결과

테스트 환경:

  • JMeter (10명 동시 접속, 50회 요청| GET /admin/clients)

  • 데이터: User 1,050명 (Admin 50 + Client 1,000)

    시나리오평균 응답시간(ms)최대(ms)처리량(TPS)
    Search (키워드 검색)20.9977.3355.93
    Date Filter (날짜 필터)15.8644.0055.96
    Basic (기본 페이지네이션)39.9981.6755.64
    Complex Filter (복합 조건)20.9575.0055.30
    평균24.4583.67221.77

3. MyBatis 도입

도입 배경

왜 MyBatis인가?

  1. SQL과 Java 코드 완전 분리 → 가독성 향상
  2. 복잡한 동적 쿼리 작성 용이
  3. 쿼리 튜닝 및 실행 계획 분석 편리
  4. 필요한 컬럼만 선택적으로 조회 가능

초기 MyBatis 구현(문제점 포함)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.example.mapper.UserMapper">
    <select id="searchClients" resultType="ClientDto">
        SELECT
            u.user_id,
            u.email,
            u.name,
            u.last_login_at,
            c.phone_number,
            co.company_name
        FROM user u
        LEFT JOIN clients c ON u.client_id = c.client_id
        LEFT JOIN company co ON c.company_id = co.company_id
        WHERE u.enabled = true

        <!-- 날짜 필터 -->
        <if test="startDate != null and endDate != null">
            AND u.last_login_at BETWEEN #{startDate} AND #{endDate}
        </if>

        <!-- 키워드 검색 - 문제점: choose 중첩 -->
        <if test="keyword != null and keyword != ''">
            <choose>
                <when test="range == 'all'">
                    AND (
                        u.email LIKE CONCAT('%', #{keyword}, '%')
                        OR u.name LIKE CONCAT('%', #{keyword}, '%')
                        OR co.company_name LIKE CONCAT('%', #{keyword}, '%')
                        OR c.phone_number LIKE CONCAT('%', #{keyword}, '%')
                    )
                </when>
                <when test="range == 'email'">
                    AND u.email LIKE CONCAT('%', #{keyword}, '%')
                </when>
                <when test="range == 'name'">
                    AND u.name LIKE CONCAT('%', #{keyword}, '%')
                </when>
                <when test="range == 'company'">
                    AND co.company_name LIKE CONCAT('%', #{keyword}, '%')
                </when>
                <when test="range == 'phone'">
                    AND c.phone_number LIKE CONCAT('%', #{keyword}, '%')
                </when>
            </choose>
        </if>

        ORDER BY u.created_at DESC
        LIMIT #{offset}, #{size}
    </select>

    <!-- COUNT 쿼리 - 문제점: 불필요한 JOIN -->
    <select id="countFilteredClients" resultType="long">
        SELECT COUNT(*)
        FROM user u
        LEFT JOIN clients c ON u.client_id = c.client_id
        LEFT JOIN company co ON c.company_id = co.company_id
        WHERE u.enabled = true

        <if test="startDate != null and endDate != null">
            AND u.last_login_at BETWEEN #{startDate} AND #{endDate}
        </if>

        <if test="keyword != null and keyword != ''">
            <choose>
                <when test="range == 'all'">
                    AND (
                        u.email LIKE CONCAT('%', #{keyword}, '%')
                        OR u.name LIKE CONCAT('%', #{keyword}, '%')
                        OR co.company_name LIKE CONCAT('%', #{keyword}, '%')
                        OR c.phone_number LIKE CONCAT('%', #{keyword}, '%')
                    )
                </when>
                <!-- ... 동일한 choose 반복 -->
            </choose>
        </if>
    </select>
</mapper>

초기 MyBatis 성능 테스트

시나리오평균 응답시간(ms)최대(ms)처리량(TPS)
Search24.0410859.15
Date Filter23.399259.34
Basic23.8547357.59
Complex Filter23.4611259.32
평균24.5647366.70

문제 분석

  • choose 중첩으로 인한 SQL 캐시 비효율

  • 최대 응답시간 편차 큼 (473ms)

  • COUNT 쿼리의 불필요한 JOIN

    SELECT COUNT(*) # 4) 3단계 조인 후 연산
    FROM user u # 1) user 테이블 스캔
    LEFT JOIN clients c ON u.client_id = c.client_id # 2) 임시 테이블 생성
    LEFT JOIN company co ON c.company_id = co.company_id # 3) 임시 테이블 생성)
    WHERE ...

4. MyBatis 최적화

개선 1: 동적 SQL 단순화

Before (choose 중첩) → After (OR 조건 통합):

<if test="keyword != null and keyword != ''">
    AND (
        (#{range} = 'all' AND (
            u.email LIKE CONCAT('%', #{keyword}, '%')
            OR u.name LIKE CONCAT('%', #{keyword}, '%')
            OR co.company_name LIKE CONCAT('%', #{keyword}, '%')
            OR c.phone_number LIKE CONCAT('%', #{keyword}, '%')
        ))
        OR (#{range} = 'email' AND u.email LIKE CONCAT('%', #{keyword}, '%'))
        OR (#{range} = 'name' AND u.name LIKE CONCAT('%', #{keyword}, '%'))
        OR (#{range} = 'company' AND co.company_name LIKE CONCAT('%', #{keyword}, '%'))
        OR (#{range} = 'phone' AND c.phone_number LIKE CONCAT('%', #{keyword}, '%'))
    )
</if>

효과:

  • Before: range 값에 따라 5개의 다른 SQL 생성
  • After: 항상 동일한 SQL 템플릿 생성 > 실행 계획 재사용성 증가

개선 2: COUNT 쿼리 최적화

Before (JOIN 기반) → After (EXISTS 서브쿼리 기반)

<select id="countFilteredClients" resultType="long">
    SELECT COUNT(*)
    FROM user u
    WHERE u.enabled = true

    <if test="startDate != null and endDate != null">
        AND u.last_login_at BETWEEN #{startDate} AND #{endDate}
    </if>

    <if test="keyword != null and keyword != ''">
        AND (
            (#{range} = 'all' AND (
                u.email LIKE CONCAT('%', #{keyword}, '%')
                OR u.name LIKE CONCAT('%', #{keyword}, '%')
                OR EXISTS (
                    SELECT 1 FROM clients c
                    JOIN company co ON c.company_id = co.company_id
                    WHERE c.client_id = u.client_id
                    AND co.company_name LIKE CONCAT('%', #{keyword}, '%')
                )
                OR EXISTS (
                    SELECT 1 FROM clients c
                    WHERE c.client_id = u.client_id
                    AND c.phone_number LIKE CONCAT('%', #{keyword}, '%')
                )
            ))
            OR (#{range} = 'email' AND u.email LIKE CONCAT('%', #{keyword}, '%'))
            OR (#{range} = 'name' AND u.name LIKE CONCAT('%', #{keyword}, '%'))
            OR (#{range} = 'company' AND EXISTS (
                SELECT 1 FROM clients c
                JOIN company co ON c.company_id = co.company_id
                WHERE c.client_id = u.client_id
                AND co.company_name LIKE CONCAT('%', #{keyword}, '%')
            ))
            OR (#{range} = 'phone' AND EXISTS (
                SELECT 1 FROM clients c
                WHERE c.client_id = u.client_id
                AND c.phone_number LIKE CONCAT('%', #{keyword}, '%')
            ))
        )
    </if>
</select>

EXISTS vs JOIN 성능 비교

  1. JOIN 방식:

    SELECT COUNT(*)
    FROM user u
    LEFT JOIN clients c ON u.client_id = c.client_id
    LEFT JOIN company co ON c.company_id = co.company_id
    WHERE co.company_name LIKE '%ABC%'

    실행 과정:

     1. user 테이블 전체 스캔
     2. clients 테이블과 조인 (1,000건)
     3. company 테이블과 조인 (1,000건)
     4. WHERE 조건 필터링
     5. COUNT(*) 계산

  2. EXISTS 방식:

    SELECT COUNT(*)
    FROM user u
    WHERE EXISTS (
    SELECT 1 FROM clients c
    JOIN company co ON c.company_id = co.company_id
    WHERE c.client_id = u.client_id
    AND co.company_name LIKE '%ABC%'
    )

    실행 과정:

    1. user 테이블 전체 스캔
    2. 각 행마다 EXISTS 서브쿼리 실행
        2.1. 조건 만족 시 즉시 TRUE 반환 (조기 종료)
        2.2. 첫 번째 매칭 행 발견 시 더 이상 검색 안 함
    3. COUNT(*) 계산

    → 필요한 만큼만 조인

성능 차이:

  • JOIN 방식: 1,000건 조인 → 1,000건 처리
  • EXISTS 방식: 조기 종료 → 평균 150건 처리

5. 최종 성능 비교

MyBatis 최적화 후 테스트 결과

시나리오평균 응답시간(ms)최대(ms)처리량(TPS)
Search17.164868.95
Date Filter15.893268.99
Basic17.235468.64
Complex Filter17.114869.02
평균15.5154273.34

전체 비교

image

개선 효과

MyBatis 개선 전 대비:

  • 평균 응답시간 36.8% 감소 (24.56 → 15.51ms)
  • 최대 응답시간 88.5% 감소 (473 → 54ms)
  • 처리량 3.9배 증가 (66.7 → 273 TPS)

JPA Specification 대비:

  • 평균 응답시간 36.5% 감소 (24.45 → 15.51ms)
  • 최대 응답시간 35.5% 감소 (83.67 → 54ms)
  • Basic 요청 2.3배 빠름 (39.99 → 17.23ms)
  • 처리량 23% 향상 (221.77 → 273 TPS)

최종 아키텍처 설계(혼합)

JPA를 사용할 때:

  • 단순 CRUD 작업
  • 엔티티 간 관계 활용이 중요한 경우
  • 트랜잭션 내에서 엔티티 변경 추적이 필요한 경우
  • 2~3개 이하의 조건 조합

MyBatis를 사용할 때:

  • Window Function 및 복잡한 서브쿼리
  • 다중 테이블 조인 (3개 이상)
  • 성능 최적화가 중요한 대용량 조회
  • 쿼리 튜닝이 필요한 경우

6. 정리

핵심 요약

최종 전략:

  • JPA: 단순 CRUD, 엔티티 관계 활용
  • MyBatis: 복잡한 검색, 통계, 성능 최적화

성능 개선:

  • 평균 응답시간 36.5% 감소
  • 최대 응답시간 88.5% 감소
  • 처리량 23% 향상

참고 자료

]]> <![CDATA[Spring Boot에서 Session 인증을 커스텀하는 이유와 실전 구현]]> https://KKangHHee.github.io/blog/spring-boot-custom-session-authentication https://KKangHHee.github.io/blog/spring-boot-custom-session-authentication Tue, 15 Apr 2025 00:00:00 GMT

"왜 Spring Security의 기본 Form Login을 쓰지 않고 직접 구현할까?"

이 글에서는 Admin/Customer 통합 환경에서 JSON 기반 로그인 + 중복 로그인 제어를 구현하며 겪었던 표준 방식으로는 안 되는 이유어떻게 우회했는지를 기록합니다.

1. 왜 커스텀 세션 인증?

프로젝트 요구사항

항목요구사항표준 FormLogin 가능 여부
JSON 기반 로그인{"email": "...", "password": "..."}복잡
중복 로그인 제어동일 계정 1명만 로그인 허용가능
계정 잠금 처리5회 실패 시 계정 잠김커스텀 필요
첫 로그인 체크첫 로그인 시 비밀번호 변경 강제커스텀 필요
타입별 응답Admin/Customer별 다른 응답커스텀 필요

표준 FormLogin의 한계

Spring Security의 기본 FormLogin 필터 체인:

UsernamePasswordAuthenticationFilter
    → AuthenticationManager
    → UserDetailsService (사용자 조회)
    → SuccessHandler / FailureHandler

문제점:

  1. 필터 단계에서는 비즈니스 로직 주입이 복잡
    • 필터 기반 인증은 커스터마이징이 어렵고, 특히 AuthenticationFailureHandler만으로는 DB 상태 변경(잠금 등)을 처리하기 직관적이지 않음.
  2. 실패 카운트를 어디서 관리할까?
    • 필터는 Stateless하므로 DB 업데이트 로직을 끼워넣기 애매함
  3. 첫 로그인 체크는 인증 성공 이후에 판단해야 함
    • 필터 체인에서는 순서상 어색함

해결 방안: Controller + SessionAuthenticationStrategy 조합

필터를 우회하여 Controller에서 비즈니스 로직을 선행 처리하되, 인증 결과는 Security의 표준 컴포넌트를 이용해 세션 시스템에 등록 수동으로 Authentication 객체를 생성하고, SecurityContextRepository를 통해 세션에 영속화하는 일련의 과정을 코드로 구현

[기존] Filter Chain 방식

Request → Filter → AuthenticationManager → Response

[개선] Controller 방식

Request → Controller → Service (비즈니스 로직)

    → 수동으로 AuthenticationManager 호출
    → SessionAuthenticationStrategy 호출
    → SecurityContext 저장 → Response

Spring Security의 세션 정책을 그대로 활용하는 방안

2. 인증 구현

전체 인증 플로우

1. [Client] Request

2. [Controller] 요청 수신

3. [LoginService] 검증
		3.1 사용자 확인
		3.2 계정 활성 여부
		3.3 비밀번호 검증
		3.4 첫 로그인 검증

4. [performSecurityAuthentication]
		4.1 AuthenticationManager.authenticate() 호출
		4.2 SessionAuthenticationStrategy.onAuthentication() 호출
				4.2.1) 중복 세션 제어 | 세션 고정 공격 방지 |
				4.2.2) SessionRegistry 등록
		4.3 SecurityContext 생성 및 설정
		4.4 HttpSession에 SecurityContext 저장

5. [Response]

단계별 설명

1단계: 사용자 요청 수신

@PostMapping("/login")
public ResponseEntity login(@RequestBody LoginDto req) {
    // Controller에서 직접 처리
}

2단계: 비즈니스 검증 (LoginService)

if (user.isLocked()) {
    throw new AccountLockedException("계정이 잠겼습니다.");
}

if (user.isFirstLogin()) {
    return new FirstLoginResponse("비밀번호를 변경하세요.");
}

if (!passwordEncoder.matches(req.getPassword(), user.getPassword())) {
    user.incrementFailCount();
    if (user.getFailCount() >= 5) {
        user.lock();
    }
    userRepository.save(user);
    throw new BadCredentialsException("아이디 또는 비밀번호 틀렸습니다.");
}

3단계: Spring Security 인증 실행

// AuthenticationManager를 수동으로 호출
UsernamePasswordAuthenticationToken authToken =
    new UsernamePasswordAuthenticationToken(
        req.getEmail(),
        req.getPassword(),
        user.getAuthorities()
    );
Authentication authentication = authenticationManager.authenticate(authToken);

4단계: 세션 정책 적용

// SessionAuthenticationStrategy 수동 호출
sessionAuthenticationStrategy.onAuthentication(authentication, request, response);

5단계: SecurityContext 저장

SecurityContext context = securityContextHolderStrategy.createEmptyContext();
context.setAuthentication(authentication);
SecurityContextHolder.setContext(context);
securityContextRepository.saveContext(context, request, response);

3. 핵심 컴포넌트 구현

각 컴포넌트의 역할

컴포넌트역할실무 의미
HttpSessionEventPublisher세션 생성/삭제 이벤트를 Spring Security에 전달로그아웃/타임아웃 시 SessionRegistry 자동 정리
SessionRegistry세션 및 사용자 상태 관리Admin UI에서 "현재 접속 중인 사용자" 목록 확인 가능
SessionAuthenticationStrategy세션 정책 체인중복 로그인 제어 + 세션 고정 공격 방지 + 세션 등록

1) User Entity

@Entity
@Table(name = "users")
@EqualsAndHashCode(of = "email", callSuper = false)
@NoArgsConstructor(access = AccessLevel.PROTECTED)
public class User implements UserDetails {
    //...
}

equals/hashCode를 오버라이딩 하는 이유

  • Spring Security의 SessionRegistry동일 사용자의 세션을 추적하기 위해

  • 내부적으로 Map<Object, Set<SessionInformation>>을 사용하기 때문에 equals/hashCode를 오버라이딩해 해야 함

    // SessionRegistryImpl 내부
    private final ConcurrentMap> principals = new ConcurrentHashMap<>();

    public void registerNewSession(String sessionId, Object principal) {
    Set sessions = principals.get(principal);
    // 여기서 principal.equals()로 동일 사용자 판단
    }

  • equals를 오버라이딩하지 않으면: 객체 참조 비교로 동작

  • SessionRegistry에 같은 사용자가 여러 번 등록되어, 중복 로그인 제어 X

2) LoginService

1) 로그인 메인 로직

    @Transactional
    public LoginResponse login(LoginDto req, HttpServletRequest request,
                                HttpServletResponse response) {

        // 1. 사용자 조회
        User user = userRepository.findByEmail(req.getEmail())
            .orElseThrow(() -> new UsernameNotFoundException("사용자를 찾을 수 없습니다."));

        // 2. 계정 잠김 체크
        if (user.isLocked()) {
            throw new AccountLockedException("계정이 잠겼습니다. 관리자에게 문의하세요.");
        }

        // 3. 계정 활성화 체크
        if (!user.isEnabled()) {
            throw new DisabledException("비활성화된 계정입니다.");
        }

        // 4. 비밀번호 검증
        if (!passwordEncoder.matches(req.getPassword(), user.getPassword())) {
            user.incrementFailCount();
            userRepository.save(user);

            if (user.isLocked()) {
                throw new AccountLockedException(
                    "5회 실패로 계정이 잠겼습니다. 관리자에게 문의하세요."
                );
            }

            throw new BadCredentialsException(
                String.format("아이디 또는 비밀번호가 틀렸습니다. (남은 시도: %d회)",
                              5 - user.getFailCount())
            );
        }

        // 5. 첫 로그인 체크
        if (user.isFirstLogin()) {
            return LoginResponse.firstLogin("비밀번호를 변경해야 합니다.");
        }

        // 6. Spring Security 인증 실행
        performSecurityAuthentication(req, user, request, response);

        // 7. 로그인 성공 처리
        user.resetFailCount();
        userRepository.save(user);

        return LoginResponse.success(user);
    }

2) Spring Security 인증 수행

    private void performSecurityAuthentication(LoginDto req, User user,
                                                HttpServletRequest request,
                                                HttpServletResponse response) {

        // 1. AuthenticationManager를 통한 인증
        UsernamePasswordAuthenticationToken authToken =
            new UsernamePasswordAuthenticationToken(
                req.getEmail(),
                req.getPassword(),
                user.getAuthorities()
            );

        Authentication authentication = authenticationManager.authenticate(authToken);

        // 2. SessionAuthenticationStrategy 호출 (세션 정책 적용) → SessionRegistry 등록
        sessionAuthenticationStrategy.onAuthentication(authentication, request, response);

        // 3. SecurityContext 생성 및 설정
        SecurityContext context = securityContextHolderStrategy.createEmptyContext();
        context.setAuthentication(authentication);
        SecurityContextHolder.setContext(context);

        // 4. SecurityContextRepository에 저장 (HttpSession에 저장됨)
        securityContextRepository.saveContext(context, request, response);
    }

3) SessionConfig - 세션 정책 설정

1) HttpSessionEventPublisher

세션 생성/삭제 이벤트를 Spring Security에 전달

    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher() {
            @Override
            public void sessionCreated(HttpSessionEvent event) {
                super.sessionCreated(event);
            }

            @Override
            public void sessionDestroyed(HttpSessionEvent event) {
                super.sessionDestroyed(event);
            }
        };
    }

2) 서블릿 리스너에 등록 (정상 동작 보장)

(1)HttpSessionEventPublisher을 ServletListener에 등록해야 로그아웃 시 SessionRegistry에서 세션이 제거됨 하지 않을 경우, 세션이 누적

    public ServletListenerRegistrationBean
            httpSessionEventPublisherRegistration() {
        return new ServletListenerRegistrationBean<>(httpSessionEventPublisher());
    }

3) SessionRegistry

세션 및 사용자 상태 관리 핵심 컴포넌트

    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl() {
            @Override
            public void registerNewSession(String sessionId, Object principal) {
                super.registerNewSession(sessionId, principal);
            }

            @Override
            public void removeSessionInformation(String sessionId) {
                SessionInformation info = getSessionInformation(sessionId);
                super.removeSessionInformation(sessionId);
            }

            private String extractPrincipalName(Object principal) {
                if (principal instanceof User) {
                    return ((User) principal).getEmail();
                }
                return principal.toString();
            }
        };
    }

4) SessionAuthenticationStrategy

인증 성공 시 작동하는 세션 정책

    public SessionAuthenticationStrategy sessionAuthenticationStrategy(
            SessionRegistry sessionRegistry) {

        // 3-1) 동시 로그인 개수 제한
        ConcurrentSessionControlAuthenticationStrategy concurrentControl =
            new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry);
        concurrentControl.setMaximumSessions(1);  // 동일 계정 1명만
        concurrentControl.setExceptionIfMaximumExceeded(false);  // 기존 세션 만료

        // 3-2) 세션 고정 공격 방지 (세션 ID 재발급)
        SessionFixationProtectionStrategy sessionFixation =
            new SessionFixationProtectionStrategy();
        sessionFixation.setMigrateSessionAttributes(true);

        // 3-3) SessionRegistry에 세션 등록
        RegisterSessionAuthenticationStrategy registerSession =
            new RegisterSessionAuthenticationStrategy(sessionRegistry);

        // 3가지 전략을 Composite로 통합
        return new CompositeSessionAuthenticationStrategy(Arrays.asList(
            concurrentControl,
            sessionFixation,
            registerSession
        ));
    }

4) SecurityFilterChain 설정

컨트롤러는 "로그인 시 딱 한 번 실행"되어 "세션 생성 및 전략 수동 호출"함 필터는 "로그인 이후 API"에 "세션 유효성 검증 및 정책 담당"

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .cors(cors -> cors.configurationSource(corsConfigurationSource()))
        .csrf(csrf -> csrf.disable())  // REST API는 CSRF 불필요

        // SecurityContext 저장 방식 설정
        .securityContext(context -> context
            .securityContextRepository(securityContextRepository())
            .requireExplicitSave(true)  // 명시적 저장 (Controller에서 수동 저장)
        )

        // 세션 관리 설정
        .sessionManagement(session -> session
            .sessionFixation().changeSessionId()  // 세션 고정 공격 방지
            .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
            .maximumSessions(1)  // 동일 계정 1명만
            .maxSessionsPreventsLogin(false)  // 기존 세션 만료 방식
            .sessionRegistry(sessionRegistry())
            .expiredSessionStrategy(customSessionExpiredStrategy())  // 만료 시 처리
        )

        // 예외 처리
        .exceptionHandling(ex -> ex
            .authenticationEntryPoint(authenticationDeniedHandler())  // 401
            .accessDeniedHandler(authorizationDeniedHandler())  // 403
        )

        // 커스텀 필터 추가
        .addFilterBefore(sessionExpiredFilter(), SecurityContextPersistenceFilter.class)
        .addFilterBefore(improvedLogoutFilter(), LogoutFilter.class);

    return http.build();
}

주요 설정 설명

  • requireExplicitSave

    • 기본값(false)은 SecurityContextPersistenceFilter가 자동 저장
    • true로 설정 시 Controller에서 수동으로 saveContext() 호출 필요
    • true로 변경하지 않으면, SecurityContext가 두 번 저장됨

  • sessionFixation().changeSessionId()

    • 세션 고정 공격(Session Fixation) 방지
    • 로그인 성공 시 세션 ID를 새로 발급하여 공격자가 탈취한 세션 ID 무효화

4. 동작 검증

1) 정상 로그인

POST /api/login
{
  "email": "user@example.com",
  "password": "password123"
}

→ 200 OK
{
  "status": "SUCCESS",
  "user": {
    "email": "user@example.com",
    "type": "CUSTOMER"
  }
}

2) 5회 실패 → 계정 잠김

# 1~4회 실패
→ 400 Bad Request
{
  "error": "아이디 또는 비밀번호가 틀렸습니다. (남은 시도: 4회)"
}

# 5회 실패
→ 423 Locked
{
  "error": "5회 실패로 계정이 잠겼습니다."
}

3) 첫 로그인

POST /api/login
{
  "email": "newuser@example.com",
  "password": "temp123"
}

→ 200 OK
{
  "status": "FIRST_LOGIN",
  "message": "비밀번호를 변경해야 합니다."
}

4) 중복 로그인 제어

# 사용자 A: 로그인 성공 (Session ID: abc123)
# 사용자 B: 같은 계정으로 로그인 시도

→ 사용자 A의 세션이 만료됨
→ 사용자 A가 API 호출 시 401 Unauthorized 응답

5. 정리

핵심 요약

JSON 기반 로그인 + 계정 잠금 + 첫 로그인 체크 + ROLE별 응답
이 4가지를 FormLogin 필터에서 처리하기는 너무 복잡해습니다.

Controller 방식으로 전환한 후:

  • 비즈니스 로직이 Service 레이어에 명확히 분리됨
  • Spring Security의 세션 정책은 그대로 활용

트레이드오프

  • 장점:

    • 비즈니스 로직 자유도 높음
    • 코드 가독성 좋음

  • 단점:

    • Spring Security의 "자동화"를 포기
    • SessionAuthenticationStrategy 수동 호출 필요
    • SecurityContext 수동 저장 필요
]]> <![CDATA[기록 블로그]]> https://KKangHHee.github.io/blog/index https://KKangHHee.github.io/blog/index Thu, 13 Jul 2000 00:00:00 GMT 안녕하세요!
신입 개발자 신강희입니다 😊

“기록은 가장 강력한 성장 도구다”

📚 게시글 목록

🔴 Redis & 동시성

🟢 Spring & Backend

🟣 Docker / Infra

  • (새로운 글을 준비 중이에요 🚀)

📌 About Me

  • 🎓 컴퓨터정보공학 전공
  • 💻 백엔드 개발자 지망
  • 📈 꾸준히 성장 중
]]>