[스프링 시큐리티] 세션 고정 보호

인증에 성공할 때 마다 세션 ID나 세션을 변경해서 발급해줌으로써 세션을 중간에서 가로채더라도 해당 세션이 유효하지 않게 하는 기능

protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement()
        .sessionFixation().changeSessionId() // changeSessionId : 새로운 세션 ID를 발급해서 전달(default)
                                             // none : 아무 동작 안함
                                             // migrateSession : 새로운 세션을 생성해서 전달 (속성값 유지)
                                             // newSession : 새로운 세션 전달 (속성값 유지 안됨)
}

참조 : 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security 강좌