스프링 시큐리티

10) 세션 제어 필터 : SessionManagementFilter, ConcurrentSessionFilter

ConcurrentSessionControlAuthenticationStrategy 질문입니다!

2021-05-25T14:51:30.518Z

916

YoungJin Hwang

작성한 질문수 8

현재 Ajax 방식 로그인을 위해 해당 강의에서 나온 방식으로 AbstractAuthenticationProcessingFilter를 상속받아 Filter를 커스텀하여 로그인 기능이 구현되어있습니다.

이후 동시세션 제어를 위해 securityConfig에서 아래 코드를 적용하였지만

http
                .sessionManagement()
                .maximumSessions(1);

AuthenticationProcessingFilter를 커스텀하여

ConcurrentSessionControlAuthenticationStrategy이 적용되지 않는것 같은데 적용하는 방법을 알 수 있을까요?!

java Spring Security spring-boot

답변 2

정수원

2021-05-26T08:19:24.376Z

LoginProcessingFilter 가 AuthenticationProcessingFilter 를 상속해서 구현하셨다면

인증에 성공한 이후 AuthenticationProcessingFilter 의 처리 과정에 다음과 같은 부분이 있습니다.

authResult 가 인증에 성공한 이후 리턴된 Authentication 객체이고 이것을 sessionStrategy 가 사용하고 있습니다.

sessionStrategy 의 여러 구현체 중에 ConcurrentSessionControlAuthenticationStrategy 가 있는데 위의 sessionStrategy.onAuthentication(authResult, request, response) 구문이 동시적 세션 제어를 담당하는ConcurrentSessionControlAuthenticationStrategy 의 처리 과정이 있습니다.

ConcurrentSessionControlAuthenticationStrategy 는 동시적 세션 제어와 관련된 작업을 하게 되는데 인증 처리 이후 이 부분을 타고 있는지 디버깅을 해 보시길 바랍니다.

만약 타지 않는다면 원인을 파악해야 하고 타고 있는데도 동시적 세션 제어 기능이 제대로 동작하지 않는다면 ConcurrentSessionControlAuthenticationStrategy 에 보시면 아래와 같은 구문이 있습니다.

이 부분을 디버깅하시면서 원인을 파악해야 합니다.
이 구문을 타고 있는지 보시고 조건에 따른 처리가 어떻게 이루어지는지 보시기 바랍니다.

해 보시고 추가 질문이 있으시면 남겨 주시기 바랍니다.

정수원

2021-05-25T14:54:38.695Z

github 소스 공유 가능할까요

YoungJin Hwang

2021-05-26T06:40:48.149Z

선생님! 아래 코드를 적용하여 해결했습니다!!

    @Bean
    public LoginProcessingFilter loginProcessingFilter() throws Exception {
        LoginProcessingFilter loginProcessingFilter = new LoginProcessingFilter();
        loginProcessingFilter.setAuthenticationManager(authenticationManagerBean());
        loginProcessingFilter.setAuthenticationSuccessHandler(ajaxAuthenticationSuccessHandler());
        loginProcessingFilter.setAuthenticationFailureHandler(ajaxAuthenticationFailureHandler());
        loginProcessingFilter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy());
        return loginProcessingFilter;
    }

    @Autowired
    private SessionRegistry sessionRegistry;

    @Bean
    public SessionRegistry sessionRegistry() {
        if (sessionRegistry == null) {
            sessionRegistry = new SessionRegistryImpl();
        }
        return sessionRegistry;
    }


    @Bean
    public CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy(){
        ConcurrentSessionControlAuthenticationStrategy concurrentSessionControlAuthenticationStrategy=
         new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
        concurrentSessionControlAuthenticationStrategy.setMaximumSessions(1);
        concurrentSessionControlAuthenticationStrategy.setExceptionIfMaximumExceeded(false);
        SessionFixationProtectionStrategy sessionFixationProtectionStrategy=new SessionFixationProtectionStrategy();
        ChangeSessionIdAuthenticationStrategy changeSessionIdAuthenticationStrategy = new ChangeSessionIdAuthenticationStrategy();
        RegisterSessionAuthenticationStrategy registerSessionStrategy = new RegisterSessionAuthenticationStrategy(sessionRegistry());
        CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy=new CompositeSessionAuthenticationStrategy(
                Arrays.asList(concurrentSessionControlAuthenticationStrategy,changeSessionIdAuthenticationStrategy,sessionFixationProtectionStrategy,registerSessionStrategy));
        return sessionAuthenticationStrategy;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
                .sessionManagement()
                .maximumSessions(1);

정수원

2021-05-27T06:14:34.364Z

아 네 ^^

직접 빈을 만들어서 설정해 버렸군요~

다만 CompositeSessionAuthenticationStrategy 클래스가 빈으로 되어 있기 때문에 LoginProcessingFilter 에서만 사용하는지 아니면 다른 곳에서도 참조를 하고 있는지는 확인해 보시면 좋을 것 같습니다.

세션관련 처리를 하기 때문에 기존의 스프링 시큐리티에서 사용하고 있는 CompositeSessionAuthenticationStrategy 클래스와 직접 생성한 CompositeSessionAuthenticationStrategy 가 서로 충돌하는 지점은 없는지, 중복실행되는 지점은 없는지 등 체크가 되면 더 좋을 것 같습니다.

시큐리티 공부 버전 질문

2025-03-09T15:59:31.005Z

188

[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈

2024-11-02T06:45:25.484Z

196

AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우

2024-10-30T22:53:20.617Z

185

강의 코드가 왜이렇게 뒤죽박죽인가요...

2024-10-27T00:33:39.419Z

270

메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..

2024-10-20T12:00:38.938Z

247

파라미터값이 넘어가지 않습니다 ....

2024-03-28T09:17:27.457Z

381

security filterChain 설정 질문이 있습니다.

2024-03-27T07:52:36.431Z

336

소스 부분 질문 드립니다.

2024-03-26T01:04:06.248Z

213

섹션4 7번 강의 문제가 있는거 같네요.

2024-03-26T00:40:04.994Z

351

파일이 수시로 이름이 바껴있네요 ㄷㄷ

2024-03-25T01:21:47.356Z

309

HttpSessionSecurityContextRepository를 사용안하는 문제

2024-03-23T02:47:24.238Z

563

error , exception 이 잘 안됩니다.

2024-03-20T22:38:53.640Z

288

thymeleaf tag 질문합니다.

2024-03-20T20:23:37.339Z

200

버전업하면서 deprecated된 것들이 너무많아요

2024-03-13T01:28:41.580Z

482

spring security 패치 관련

2024-03-08T06:00:11.684Z

442

모바일을 사용할때 토큰말고 세션

2024-03-05T15:09:47.921Z

863

DB 연동한 인가 부분에 대한 질문입니다!

2024-03-05T11:40:21.443Z

268

Ajax방식도 똑같이 Session방식을 사용하는건가요?

2024-03-01T11:42:40.000Z

312

Config 파일 생성 시 질문이 있습니다.

2024-03-01T09:29:55.876Z

234

강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..

2024-02-29T13:55:02.555Z

440

403 에러 뜹니다.

2024-02-28T07:03:55.490Z

818

login_proc의 존재에 대한 간략한 설명입니다

2024-02-25T05:07:20.183Z

280

top.html에 로그인 링크를 만들어서 로그인을 해봤습니다

2024-02-24T13:44:41.650Z

290

안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!

2024-02-24T09:47:31.211Z

194