• 카테고리

    질문 & 답변
  • 세부 분야

    백엔드

  • 해결 여부

    미해결

안녕하세요 세션 관련 질문...두번째 입니다.

22.06.23 18:24 작성 조회수 170

0

안녕하세요 강사님 첫 번째 문의

답변 정말 감사합니다.

추가 문의 좀 하겠습니다..

 
혹시 제 Logout처리 부분에서 잘 못 처리 된게 있을지 좀 알려주실 수 있으십니까?
 
config 쪽 로그아웃 관련 설정입니다.
@Override
protected void configure(HttpSecurity http) throws Exception {
.logout()
.clearAuthentication(true)
.logoutRequestMatcher(new AntPathRequestMatcher("/api/v1/logout"))
.logoutSuccessHandler(new LogoutHandler(homeService))

로그아웃 헨들러

@Slf4j
@RequiredArgsConstructor
public class LogoutHandler extends SimpleUrlLogoutSuccessHandler implements LogoutSuccessHandler {

private final HomeService homeService;

@Override
@Transactional
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
throws IOException, ServletException {

LoginCode logout = homeService.logout(request, response);
log.info("logout result : {}", logout.getDescription());

ResponseCookie refreshToken = homeService.removeCookie(request);
response.setHeader("Set-Cookie", refreshToken.toString());

this.setDefaultTargetUrl("/login");
super.onLogoutSuccess(request, response, authentication);
}
}

 

이번에 QA를 진행해보아도

한 PC에서 로그인을 한 상태에서, 다른 QA분들 (약10분 정도) 가 로그인/로그아웃을 반복 수행했습니다.

동일하게 RoleVoter나, IpVoter쪽에서 context 검사 후 AuthenticationEntryPoint 이쪽에 걸렸습니다.

 

removeCookie 쪽에는 단순히 쿠키의 age를 0으로 재생성해주는 쿠키 제거 function 입니다.

로그아웃 과정에서 어떤 문제가 있길래 모든 context가 처리 되는지 알고 싶습니다..

감사합니다...!

 

질문 update

clearAuthentication

이부분이 혹시 전체 authentication을 삭제가 가능한가 싶어서 내부를 타고 들어가도

현재 인증 정보를 제거한다라는 로직 같기만 하고 제가 우려한 부분은 아니더라구요.

ip hash등의 임시 방편으로 이것이 해결이 되는 건가 싶었는데.

금일 라이브QA에서도 동일한 현상이 발생 했습니다.

 

강사님의 질문에 대해서 제가 정리를 해보면

request가 들어오면 filter에서 제가 생성한 context 로 rolevoter 등이 체크를 하고 response 할 때 context가 없어지는 것 같은데... 일반적인 java RequestContext 같은 것과 같은 의미로 전 이해했습니다.

 

그럼 logout쪽에 clearAuthentication 이나 logoutHandler쪽에 SecurityContextHoler.getContext().setAuthentication(null);

이런 적업을 안해줘도 되는 걸까요??

어차피 하나의 request 안에서만 생성 되고 없어지는 context 이니깐요.

 

감사합니다.

수강생 올림.

 

https://www.inflearn.com/questions/53657 이거랑 비슷한 이슈인 것 같기도 하구요..

 

추가질문 update------------------------------------------

안녕하세요 강사님.

SecurityContextHolder에 아무 Context가 없는 상황에서.

clearContext()를 하면 어떤 영향이 있나요?..

전 당연히 아무 영향이 없을 것이다 생각하고,

로그인 API에 넣어 두었는데요.

 

QA분과 테스트 과정에서 이부분을 주석처리 해버리니까

일단 발생하지 않습니다.

 

내일 많은 QA분이 있으실 때 더 정확한 테스트가 되겠지만..

아무 context가 없을때 clearContext를 호출하는게 왜 영향이 있는지 모르겠습니다.

 

추가로. security의 기본 context 전략이

ThreadLocal이라는 것을 저도 코드 타고 들어가보면서 확인했는데요.

 

혹시 몰라서

@Override
protected void configure(HttpSecurity http) throws Exception

SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_THREADLOCAL);

를 추가 하였습니다.

 

좋은 하루 되세요. 마음이 급해서 질문이 너무 난잡하네요.

죄송합니다.

답변 1

답변을 작성해보세요.

0

정수원님의 프로필

정수원

지식공유자

22.06.24 13:44

음..

테스트 한 환경이 정확하게 어떻게 되는건가요?

여러대의 pc 에서 로그인 / 로그아웃 테스트 한다면 세션  클러스트가 된 상태인가요?

아니면 각 pc 마다 세션이 있는건가요?

사실 전통적인 인증 메카니즘은 매우 간단합니다.

인증성공하면 메타정보를 세션에 저장해 놓고 전역적으로 참조하면 그만이기 때문입니다

시큐리티도 세션을 활용하는 부분은 유사합니다.다만 시큐리티가 세션에 사용자 정보를 바로 넣지 않고 SecurityContext 로 한번 감싸고 이것을 다시 ThreadLocal 에 넣어서 세션의 역할을 하도록 한 것이 차이점이라 볼 수 있습니다.

로그아웃은 세션을 무효화하고 ThreadLocal 에서 SecurityContext 를 제거하고 Authentication 을 null 로 초기화합니다.

기억할 점은 인증에 성공하면 세션에도 SecurityContext 가 저장되기 때문에 request 범위에서 SecurityContext 가 생명주기을 갖는다 해도 여전히 세션으로부터 해당 사용자의 SecurityContext 는 가져올 수 있고 그것을 다시 SecurityContextHolder 에 담아서 재활용합니다.

그러나 로그아웃 해 버리면 세션이 무효화되기 때문에 세션안의 SecurityContext 도 없어져 버려서 다시 인증을 받아야 하는 상황이 됩니다.

그래서 로그아웃시 상태들을 초기화 하는 부분은 인증자체를 무효화하기 위한 처리하고 보시면 됩니다.

그리고 나머지 질문들은 제가 sonbbang 님과 비슷한 개발 환경에서 동일한 소스를 가지고 테스트하고 확인해 봐야 정확한 문제 원인과 해결책등을 파악할 수 있을 것 같은데 그게 쉽지 않아 보입니다. 

sonbbang님의 프로필

sonbbang

질문자

22.07.04 14:18

안녕하세요

강사님 결국 AccessDecisionManager의 기능을 모두 날리고 쿠키에 있는 값만 사용해서 문제 해결 했습니다.

 

혹시 sessionCreationPolicy(STATELESS) 이 설정 때문에 그런 것일까요?..

 

QA가 종료되어 이제 PROD 중인 서비스라 아직 설정값을 변경해보지 않았습니다.

 

그것도 한두명이 쓸때는 문제가 없다가 10명 이상에 QA가 작업할 때만 일어나더라구요..

 

Context를 생서할 때 clear해주고 setAuthentication을 하고 있는데 이건 시큐리티 context생성 기본 전략으로 알고있습니다. 이것도 혹시 문제가 되는 부분이 있을까요??

 

감사합니다.

더운날씨 조금만 고생하십시오. ㅎㅎ