세션 클러스터링을 한 이후 동시로그인 제한이 안되는데요
1262
작성한 질문수 9
안녕하십니까
강사님 강의를 듣고 여기 커뮤니티에 나름 최신 소스 받아서 시큐리티 구현중인데요
이중화 환경에서 톰캣을 통해 세션을 공유하는것까지는 되었는데요
동시 로그인제한이 안되는데 추가적인 설정을 무엇을 해야할지 모르겠는데
도움좀 받을수 있을까요?
스프링 2.7.10
스프링 시큐리티 5.7.7
// 시큐리티 설정부분
@Slf4j
@RequiredArgsConstructor
@EnableWebSecurity
@Configuration
public class WebSecurityConfig {
private final MemberRepository memberRepository;
@Bean
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
// 경로 설정
http.
authorizeRequests()
.antMatchers().permitAll()
.anyRequest().authenticated()
;
// 동시 로그인 제한을 설정
http
.sessionManagement()
.maximumSessions(1)
.expiredUrl("/error/expired")
.and().sessionCreationPolicy(SessionCreationPolicy.ALWAYS)
;
http.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.invalidateHttpSession(true)
.clearAuthentication(true)
.deleteCookies("JSESSIONID")
;
// 로그인... 인증 권한 체크...
// 로그인
return http.build();
}
/**
* 여기에 Authentication 을 설정하도록
*/
@Bean
AuthenticationManager authenticationManager(AuthenticationConfiguration authConfiguration) throws Exception {
return authConfiguration.getAuthenticationManager();
}
@Bean
public static PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
// 톰캣 클러스터링 부분 (https://happy-jjang-a.tistory.com/155를 참조했습니다.)
@Configuration
public class TomcatClusterConfig implements WebServerFactoryCustomizer<TomcatServletWebServerFactory> {
@Override
public void customize(final TomcatServletWebServerFactory factory) {
factory.addContextCustomizers(new TomcatClusterContextCustomizer());
}
}
class TomcatClusterContextCustomizer implements TomcatContextCustomizer {
@Override
public void customize(final Context context) {
context.setDistributable(true);
DeltaManager manager = new DeltaManager();
manager.setExpireSessionsOnShutdown(false);
manager.setNotifyListenersOnReplication(true);
context.setManager(manager);
configureCluster((Engine) context.getParent().getParent());
}
private void configureCluster(Engine engine) {
//cluster
SimpleTcpCluster cluster = new SimpleTcpCluster();
cluster.setChannelSendOptions(6);
//channel
GroupChannel channel = new GroupChannel();
//membership setting
McastService mcastService = new McastService();
mcastService.setAddress("228.0.0.4");
mcastService.setPort(45564); // TCP&UDP port 오픈 필요
mcastService.setFrequency(500);
mcastService.setDropTime(3000);
channel.setMembershipService(mcastService);
//receiver
NioReceiver receiver = new NioReceiver();
receiver.setAddress("auto");
receiver.setMaxThreads(6);
receiver.setPort(5000); // TCP port 오픈 필요
channel.setChannelReceiver(receiver);
//sender
ReplicationTransmitter sender = new ReplicationTransmitter();
sender.setTransport(new PooledParallelSender());
channel.setChannelSender(sender);
//interceptor
channel.addInterceptor(new TcpPingInterceptor());
channel.addInterceptor(new TcpFailureDetector());
channel.addInterceptor(new MessageDispatchInterceptor());
cluster.addValve(new ReplicationValve());
cluster.addValve(new JvmRouteBinderValve());
cluster.setChannel(channel);
cluster.addClusterListener(new ClusterSessionListener());
engine.setCluster(cluster);
}
}
답변 1
0
maximumSessions(1) 은 동일한 세션이 아닌 다른 세션에서 같은 사용자 계정을 사용해서 로그인 할 경우 중복을 허용하지 않는다는 개념입니다.
세션 클러스터링을 한 상태에서 동시 로그인제한이 안되는 것이 어떤 상황에서 발생한 것인지 설명 좀 부탁드립니다.
그리고 SessionCreationPolicy.ALWAYS 은 스프링 시큐리티가 무조건 새로운 세션을 생성한다는 의미인데 그렇게 설정한 이유가 있을까요?
0
서버를 하나만 띄운다고 가정했을땐 maximumSessions(1) 옵션이
적용이 되어 같은 사용자 계정으로 중복 로그인이 안됐는데요
다중 서버를 고려하여 구현을 하는데
위의 톰캣관련 코드를 적용시 세션 데이터는 공유가 되는데
다중 서버에 각각 로그인을 하면 중복 로그인이 허용되더라고요
그래서 일단 찾은 방법으로는
톰캣 대신 레디스로 세션 클러스터링 후
@Bean
public SpringSessionBackedSessionRegistry<? extends Session> springSessionBackedSessionRegistry(RedisIndexedSessionRepository redisIndexedSessionRepository) {
return new SpringSessionBackedSessionRegistry<>(redisIndexedSessionRepository);
}
위의 코드를 적용하니 모든 서버에서 한번만 로그인이 되어 중복로그인이 막아지기는 했습니다.
sessionCreationPolicy(SessionCreationPolicy.ALWAYS) 는 이거저거 하다 쓴거 같습니다.
혹시 옵션만으로 스프링 내장 톰캣으로 세션 클러스터링한 환경에서 여러 모든 서버에 한번만 로그인이 되게끔 할 수 있을까요?
1
동시 세션 제어 API 는 설정하신 것이 전부이긴 합니다
그리고 레디스에서 되었다면 코드에는 이상이 없는 것 같습니다.
톰캣 클러스터링이 레디스와 같이 사용자의 세션을 동일하게 관리하고 있는지 확인이 필요할 것 같습니다.
이 부분은 제가 시뮬레이션 하기가 어려워서 정확한 답변을 드리기가 어렵네요..
시큐리티 공부 버전 질문
0
175
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
186
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
174
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
249
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
236
1
파라미터값이 넘어가지 않습니다 ....
0
374
1
security filterChain 설정 질문이 있습니다.
0
332
1
소스 부분 질문 드립니다.
0
208
2
섹션4 7번 강의 문제가 있는거 같네요.
0
344
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
304
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
555
2
error , exception 이 잘 안됩니다.
0
282
2
thymeleaf tag 질문합니다.
0
196
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
437
1
모바일을 사용할때 토큰말고 세션
0
846
2
DB 연동한 인가 부분에 대한 질문입니다!
0
264
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
307
1
Config 파일 생성 시 질문이 있습니다.
0
225
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
430
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
276
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
283
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
189
1