웹 애플리케이션을 개발할 때 세션을 이용하여 사용자 로그인 정보를 저장하고, 사용자의 로그인 상태를 유지할 수 있게 개발하는 방법은 많은 개발자가 알고 있다.

하지만 로그인 상태를 유지하기 위해서 서블릿 컨테이너인 tomcat이 내부적으로 어떻게 동작하는지 모르는 분들이 계셔서 이곳에 정리를 해보려고 한다.

1. 로컬에 톰켓 설치 후 구동
   
   
2. HTTP request, response 헤더를 확인해야 하기 때문에 크롬의 개발자 도구를 이용한다.
   
   
3. 크롬 개발자 도구의 Network 탭을 선택한 후 http://localhost:8080/login.jsp 접속
   
   
4. HTTP 헤더 정보를 보면 Response Headers에 쿠키 정보를 client로 전달한 것을 볼 수 있다. JSESSIONID 값이 톰켓에서 발급하는 쿠키 정보이다.
   
   
5. 이와 같이 톰켓은 사용자가 로그인을 하지 않아도 최초 접속 시 JSESSIONID 쿠키 값을 브라우저에 내려주는 것을 알 수 있다. 그럼 왜 쿠키 값을 내려주는 걸까? HTTP 프로토콜은 stateless의 특징을 가지고 있기 때문에 사용자와 서버는 단 한번의 요청과 응답으로 연결이 끊어진다. 그렇기 때문에 서버에서는 사용자의 로그인 인증 여부를 확인할 수 있도록 key 값 처럼 사용할 수 있는 JSESSIONID 값을 클라이언트로 내려줌으로써 이를 이용하여 로그인 처리를 할 수 있는 것이다.
   
   
6. http://localhost:8080/login.jsp 재요청
   재요청을 보내게 되면 client 브라우저는 로컬에 저장되어 있는 JSESSIONID 쿠키 값을 request header에 담아 서버로 전송한다. 톰켓은 client로부터 JSESSIONID 쿠키 값을 전달 받으면 response로 JSESSIONID 쿠키 값을 내려주지 않는다.
   
   
7. 로그인 페이지에서 로그인 진행
   사용자가 아이디와 패스워드를 로그인 창에서 입력 후 서버로 전송을 하게 되면 웹 애플리케이션에서 사용자 인증 후 세션 객체에 JSESSIONID 쿠키 값을 키로 사용하는 사용자 정보를 메모리 영역에 저장하게 된다.
   이와 같이 키 값으로 사용되는 세션 아이디 값이 메모리에 저장 됨으로써 사용자는 로그인 상태를 유지하면서 여러 페이지를 이동하여도 로그인 상태를 유지할 수 있는 것이다.

여기까지 쿠키를 이용해서 어떻게 세션을 유지하는지에 대해서 알아봤다.

이처럼 동작 원리를 알고 있으면 다음과 같은 문제가 발생할 때 빠른 트러블슈팅이 가능하다.

개발 장비에 포트만 달리하는 3개의 어플리케이션이 적재되어 있다. (톰켓 instance 3개)

하나의 애플리케이션에서 로그인 후 또 다른 어플리케이션에 로그인 하면 처음에 로그인 했던 어플리케이션의 세션이 사라져서 자동으로 로그아웃 처리 된 것을 확인할 수 있는데 이는 JSESSIONID 라는 쿠키 이름의 충돌 때문이다.

충돌이 발생하는 이유는 각 애플리케이션의 아이피가 같기 때문이다.

참고로 쿠키는 포트를 구분하지 않기 때문에 8001, 8002, 8003 포트로 서비스를 분리하여도 동일 서비스로 인식하여 로컬에 저장되어 있는 쿠키를 서버로 전송한다.

이를 해결하기 위해서는 server.xml의 context에 다음을 추가하여 각 서비스를 구분하면 위의 문제를 해결할 수 있다.

추가적으로 톰켓은 JSESSIONID 쿠키를 풀 도메인으로 셋팅한다. 즉, 서브 도메인이 서로 다르면 JSESSIONID 값도 달라진다는 것이다.

만약 여러 도메인의 세션을 공유하기 원한다면 server.xml에 다음을 추가해 주면 된다.