SessionManagementFilter 동작여부
831
작성한 질문수 8
선생님 안녕하세요.
질좋은 강의로 열심히 공부중에 질문이 생겨 글 남겨봅니다.
현재 ajaxLoginProcessingFilter 및 AjaxAuthenticationProvider 만들어서
http.addFilterBefore(ajaxLoginProcessingFilter(), UsernamePasswordAuthenticationFilter.class); 와 같이 설정해서 사용중인데 SessionManagementFilter까지 작동을 안하지는 sessionManagement 기능이 작동을 안합니다. 혹시 커스텀 객체들을 사용하면서 세션 제어를 할 수 있는 방법이 있을까요?
답변 2
0
네
사용자가 직접 인증 필터를 생성할 경우 그리고 AbstractAuthenticationProcessingFilter 를 상속받았을 경우에는 동시세션을 제어하는 클래스를 생성해서 넣어주어야 합니다.
기본은 private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy(); 으로 되어 있습니다. 즉 Null 기능만 하는 클래스입니다.
스프링 시큐리티에서 사용하는 formLogin 같은 경우에는 초기화 될 때 시큐리티가 자동으로 설정해 주지만 사용자가 직접 필터를 생성할 경우에는 수동으로 넣는 작업을 해 주어야 합니다.
일단
SecurityConfig 와 AjaxLoginProcessingFilter 에 추가 코드가 필요합니다.
먼저 SecurityConfig 에서 HttpSecurity 객체를 AjaxLoginProcessingFilter 로 전달해 주어야 하고 AjaxLoginProcessingFilter 에서 HttpSecurity 객체를 참조해서 SessionAuthenticationStrategy 을 얻으면 됩니다.
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
생략...
http.addFilterBefore(ajaxLoginProcessingFilter(http), UsernamePasswordAuthenticationFilter.class);
생략...
}
// @Bean => 빈으로 생성하지 않아야 합니다. 이유는 HttpSecurity 객체를 수동으로 넣어 주어야 하기 때문입니다.
public AjaxLoginProcessingFilter ajaxLoginProcessingFilter(HttpSecurity http) {
AjaxLoginProcessingFilter filter = new AjaxLoginProcessingFilter(http); // HttpSecurity 를 생성자로 전달
filter.setAuthenticationManager(ajaxAuthenticationManager());
filter.setAuthenticationSuccessHandler(authenticationSuccessHandler());
filter.setAuthenticationFailureHandler(authenticationFailureHandler());
return filter;
}
AjaxLoginProcessingFilter.java
public class AjaxLoginProcessingFilter extends AbstractAuthenticationProcessingFilter {
private static Logger logger = LoggerFactory.getLogger(AjaxLoginProcessingFilter.class);
private final HttpSecurity http;
public AjaxLoginProcessingFilter(HttpSecurity http) {
super(new AntPathRequestMatcher("/login", "POST"));
this.http = http;
}
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException, IOException {
// SessionAuthenticationStrategy 구현체를 얻어와서 설정한다 SessionAuthenticationStrategy sessionAuthenticationStrategy = http.getSharedObject(SessionAuthenticationStrategy.class);
if (sessionAuthenticationStrategy != null) {
setSessionAuthenticationStrategy(sessionAuthenticationStrategy);
}
일단 이렇게 되면 SessionAuthenticationStrategy 는 정상적으로 작동을 하는데 인텔리제이에서 ajax.http 프로그램으로 테스트하면 요청할 때마다 새로운 세션이 생성이 되어서 동시적으로 세션이 중복되는 상황이 재현되지 않습니다.
브라우저에서 자바스크립트로 테스트 해 보시길 권해 드립니다.
0
소스 공유가 가능할까요? 확인이 필요할 것 같습니다.
0
https://github.com/ygpark11/security
현재까지 작업한 내용 업로드 해두었습니다.
일전에 질문드렸던 것처럼 해당 소스로 동일 계정으로 로그인 시도시
http
.sessionManagement()
.maximumSessions(1)
.maxSessionsPreventsLogin(true);
이 설정으로 인해 중복로그인이 불가해야 하는데 중복로그인이 되고 있는 부분이 있어
SessionManageFilter를 안 타는게 아닌가 싶어 질문드려봅니다!!!
시큐리티 공부 버전 질문
0
176
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
187
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
177
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
251
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
236
1
파라미터값이 넘어가지 않습니다 ....
0
374
1
security filterChain 설정 질문이 있습니다.
0
332
1
소스 부분 질문 드립니다.
0
210
2
섹션4 7번 강의 문제가 있는거 같네요.
0
345
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
306
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
557
2
error , exception 이 잘 안됩니다.
0
284
2
thymeleaf tag 질문합니다.
0
198
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
437
1
모바일을 사용할때 토큰말고 세션
0
847
2
DB 연동한 인가 부분에 대한 질문입니다!
0
265
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
308
1
Config 파일 생성 시 질문이 있습니다.
0
228
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
432
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
277
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
286
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
191
1