-
질문 & 답변
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
ConcurrentSessionControlAuthenticationStrategy 질문입니다!
21.05.25 23:51 작성 조회수 644
1
현재 Ajax 방식 로그인을 위해 해당 강의에서 나온 방식으로 AbstractAuthenticationProcessingFilter를 상속받아 Filter를 커스텀하여 로그인 기능이 구현되어있습니다.
이후 동시세션 제어를 위해 securityConfig에서 아래 코드를 적용하였지만
http
.sessionManagement()
.maximumSessions(1);AuthenticationProcessingFilter를 커스텀하여
ConcurrentSessionControlAuthenticationStrategy이 적용되지 않는것 같은데 적용하는 방법을 알 수 있을까요?!
답변을 작성해보세요.
1
정수원
지식공유자2021.05.26
LoginProcessingFilter 가 AuthenticationProcessingFilter 를 상속해서 구현하셨다면
인증에 성공한 이후 AuthenticationProcessingFilter 의 처리 과정에 다음과 같은 부분이 있습니다.
authResult 가 인증에 성공한 이후 리턴된 Authentication 객체이고 이것을 sessionStrategy 가 사용하고 있습니다.
sessionStrategy 의 여러 구현체 중에 ConcurrentSessionControlAuthenticationStrategy 가 있는데 위의 sessionStrategy.onAuthentication(authResult, request, response) 구문이 동시적 세션 제어를 담당하는ConcurrentSessionControlAuthenticationStrategy 의 처리 과정이 있습니다.
ConcurrentSessionControlAuthenticationStrategy 는 동시적 세션 제어와 관련된 작업을 하게 되는데 인증 처리 이후 이 부분을 타고 있는지 디버깅을 해 보시길 바랍니다.
만약 타지 않는다면 원인을 파악해야 하고 타고 있는데도 동시적 세션 제어 기능이 제대로 동작하지 않는다면 ConcurrentSessionControlAuthenticationStrategy 에 보시면 아래와 같은 구문이 있습니다.
이 구문을 타고 있는지 보시고 조건에 따른 처리가 어떻게 이루어지는지 보시기 바랍니다.
해 보시고 추가 질문이 있으시면 남겨 주시기 바랍니다.
0
YoungJin Hwang
질문자2021.05.26
선생님! 아래 코드를 적용하여 해결했습니다!!
@Bean
public LoginProcessingFilter loginProcessingFilter() throws Exception {
LoginProcessingFilter loginProcessingFilter = new LoginProcessingFilter();
loginProcessingFilter.setAuthenticationManager(authenticationManagerBean());
loginProcessingFilter.setAuthenticationSuccessHandler(ajaxAuthenticationSuccessHandler());
loginProcessingFilter.setAuthenticationFailureHandler(ajaxAuthenticationFailureHandler());
loginProcessingFilter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy());
return loginProcessingFilter;
}
@Autowired
private SessionRegistry sessionRegistry;
@Bean
public SessionRegistry sessionRegistry() {
if (sessionRegistry == null) {
sessionRegistry = new SessionRegistryImpl();
}
return sessionRegistry;
}
@Bean
public CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy(){
ConcurrentSessionControlAuthenticationStrategy concurrentSessionControlAuthenticationStrategy=
new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
concurrentSessionControlAuthenticationStrategy.setMaximumSessions(1);
concurrentSessionControlAuthenticationStrategy.setExceptionIfMaximumExceeded(false);
SessionFixationProtectionStrategy sessionFixationProtectionStrategy=new SessionFixationProtectionStrategy();
ChangeSessionIdAuthenticationStrategy changeSessionIdAuthenticationStrategy = new ChangeSessionIdAuthenticationStrategy();
RegisterSessionAuthenticationStrategy registerSessionStrategy = new RegisterSessionAuthenticationStrategy(sessionRegistry());
CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy=new CompositeSessionAuthenticationStrategy(
Arrays.asList(concurrentSessionControlAuthenticationStrategy,changeSessionIdAuthenticationStrategy,sessionFixationProtectionStrategy,registerSessionStrategy));
return sessionAuthenticationStrategy;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.sessionManagement()
.maximumSessions(1);
정수원
지식공유자2021.05.27
아 네 ^^
직접 빈을 만들어서 설정해 버렸군요~
다만 CompositeSessionAuthenticationStrategy 클래스가 빈으로 되어 있기 때문에 LoginProcessingFilter 에서만 사용하는지 아니면 다른 곳에서도 참조를 하고 있는지는 확인해 보시면 좋을 것 같습니다.
세션관련 처리를 하기 때문에 기존의 스프링 시큐리티에서 사용하고 있는 CompositeSessionAuthenticationStrategy 클래스와 직접 생성한 CompositeSessionAuthenticationStrategy 가 서로 충돌하는 지점은 없는지, 중복실행되는 지점은 없는지 등 체크가 되면 더 좋을 것 같습니다.
답변 2