Spring-Security
세션 생성 정책
neal89
2025. 5. 29. 11:59
| 정책 | 설명 | 예 |
| ALWAYS | 요청마다 항상 세션 생성 | 테스트나 세션에 상태를 반드시 저장해야 하는 경우 |
| IF_REQUIRED (기본값) | 필요할 때만 세션 생성 (예: 로그인 등) | 일반적인 웹 애플리케이션 |
| NEVER | Spring Security는 세션을 생성하지 않지만, 이미 존재하면 사용함 | 외부에서 세션을 관리할 때 |
| STATELESS | 세션 절대 생성 또는 사용 안 함 | REST API, JWT 기반 인증 (완전 무상태) |
✅ 사용 예시 코드
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
✅ 언제 어떤 걸 써야 할까?
| 상황 | 추천 정책 |
| JWT 기반 REST API | STATELESS |
| 일반 로그인 기반 웹 | IF_REQUIRED |
| 세션 직접 컨트롤 필요 | ALWAYS |
| 서블릿 필터 수준에서만 세션 쓰고 싶을 때 | NEVER |