Agent에서 클래스를 이용해 인증 체크를 하고 그 결과가 . 일 때 사용자의 세션 탈취 여부를 조사하는 메서드를 실행합니다.
이 메서드는 필요한 페이지에서만 호출합니다.
Json data를 이용하는 로직이 있으므로 Ajax의 결과 페이지에서는 사용하지 않아야 합니다.
샘플코드
default.jsp
// 인증 객체 선언(Request와 Response 인계)
AuthCheck auth = new AuthCheck(request, response);
// 인증 체크(인증 상태 값 리턴)
AuthStatus status = auth.checkLogon();
//…
//인증상태별 처리
if (status == AuthStatus.SSOSuccess) {
// ---------------------------------------------------------------------
// 인증 상태: 인증 성공
// - 인증 토큰(쿠키) 존재하고, 토큰 형식에 맞고, SSO 정책 체크 결과 유효함.
// ---------------------------------------------------------------------
// 사용자 아이디 추출
userId = auth.getUserID();
// 사용자 속성 중 특정 사용자 속성 값 조회(사용자 이름, 조직 코드 등. 필요 없다면 제거)
String somethingUserAttribute = auth.getUserInfo("AttributeName");
// 사용자 세션 탈취 여부 조사
// 세션 탈취를 감지하는 Javascript를 호출하는 코드가 자동 생성됨.
// 필요한 페이지에서만 호출.
// 특히 JSON Data가 깨지게되니, Ajax의 결과 페이지에서는 사용하지 말것.
auth.checkHijacking();
}
