SECURITY · CH4

세션 관리 보안

세션 보안은 로그인 이후 사용자를 식별하는 토큰이 탈취, 고정, 재사용되지 않도록 관리하는 일입니다.

세션 관리 보안 구성 요소

상태 보호
예측 불가 ID충분히 긴 난수 기반 세션 ID를 사용합니다.
안전한 쿠키HttpOnly, Secure, SameSite 속성을 적용합니다.
세션 만료유휴 시간과 절대 만료 시간을 설정합니다.
권한 변경 시 재발급로그인, 권한 상승, 비밀번호 변경 후 세션을 새로 발급합니다.

세션 관리 보안 진행 순서

세션 수명
로그인세션 발급
요청쿠키 전달
검증서버 상태 확인
공격 표면

세션 탈취, 세션 고정, CSRF는 모두 세션 식별자를 어떻게 보호하느냐와 연결됩니다.