• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

SessionManagementFilter 동작여부

23.07.18 15:10 작성 조회수 459

0

선생님 안녕하세요.

질좋은 강의로 열심히 공부중에 질문이 생겨 글 남겨봅니다.

 

현재 ajaxLoginProcessingFilter 및 AjaxAuthenticationProvider 만들어서

 

http.addFilterBefore(ajaxLoginProcessingFilter(), UsernamePasswordAuthenticationFilter.class); 와 같이 설정해서 사용중인데 SessionManagementFilter까지 작동을 안하지는 sessionManagement 기능이 작동을 안합니다. 혹시 커스텀 객체들을 사용하면서 세션 제어를 할 수 있는 방법이 있을까요?

course-thumbnail

스프링 시큐리티

10) 세션 제어 필터 : SessionManagementFilter, ConcurrentSessionFilter

강의실 바로가기

답변 2

·

답변을 작성해보세요.

0

정수원님의 프로필

정수원

지식공유자

2023.07.23

사용자가 직접 인증 필터를 생성할 경우 그리고 AbstractAuthenticationProcessingFilter 를 상속받았을 경우에는 동시세션을 제어하는 클래스를 생성해서 넣어주어야 합니다.
기본은 private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy(); 으로 되어 있습니다. 즉 Null 기능만 하는 클래스입니다.

스프링 시큐리티에서 사용하는 formLogin 같은 경우에는 초기화 될 때 시큐리티가 자동으로 설정해 주지만 사용자가 직접 필터를 생성할 경우에는 수동으로 넣는 작업을 해 주어야 합니다.

일단

SecurityConfig 와 AjaxLoginProcessingFilter 에 추가 코드가 필요합니다.

먼저 SecurityConfig 에서 HttpSecurity 객체를 AjaxLoginProcessingFilter 로 전달해 주어야 하고 AjaxLoginProcessingFilter 에서 HttpSecurity 객체를 참조해서 SessionAuthenticationStrategy 을 얻으면 됩니다.

SecurityConfig.java

 

@Bean

public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

생략...

http.addFilterBefore(ajaxLoginProcessingFilter(http), UsernamePasswordAuthenticationFilter.class);

생략...

}

// @Bean => 빈으로 생성하지 않아야 합니다. 이유는 HttpSecurity 객체를 수동으로 넣어 주어야 하기 때문입니다.
public AjaxLoginProcessingFilter ajaxLoginProcessingFilter(HttpSecurity http) {

AjaxLoginProcessingFilter filter = new AjaxLoginProcessingFilter(http); // HttpSecurity 를 생성자로 전달

filter.setAuthenticationManager(ajaxAuthenticationManager());

filter.setAuthenticationSuccessHandler(authenticationSuccessHandler());

filter.setAuthenticationFailureHandler(authenticationFailureHandler());

return filter;

}

 

AjaxLoginProcessingFilter.java

public class AjaxLoginProcessingFilter extends AbstractAuthenticationProcessingFilter {

private static Logger logger = LoggerFactory.getLogger(AjaxLoginProcessingFilter.class);

private final HttpSecurity http;

public AjaxLoginProcessingFilter(HttpSecurity http) {

super(new AntPathRequestMatcher("/login", "POST"));

this.http = http;

}

@Override

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)

throws AuthenticationException, IOException {

// SessionAuthenticationStrategy 구현체를 얻어와서 설정한다 SessionAuthenticationStrategy sessionAuthenticationStrategy = http.getSharedObject(SessionAuthenticationStrategy.class);

if (sessionAuthenticationStrategy != null) {

setSessionAuthenticationStrategy(sessionAuthenticationStrategy);

}

일단 이렇게 되면 SessionAuthenticationStrategy 는 정상적으로 작동을 하는데 인텔리제이에서 ajax.http 프로그램으로 테스트하면 요청할 때마다 새로운 세션이 생성이 되어서 동시적으로 세션이 중복되는 상황이 재현되지 않습니다.

브라우저에서 자바스크립트로 테스트 해 보시길 권해 드립니다.

 

0

정수원님의 프로필

정수원

지식공유자

2023.07.18

소스 공유가 가능할까요? 확인이 필요할 것 같습니다.

soobin7999님의 프로필

soobin7999

질문자

2023.07.19

https://github.com/ygpark11/security

현재까지 작업한 내용 업로드 해두었습니다.

일전에 질문드렸던 것처럼 해당 소스로 동일 계정으로 로그인 시도시

http
.sessionManagement()
.maximumSessions(1)
.maxSessionsPreventsLogin(true);

이 설정으로 인해 중복로그인이 불가해야 하는데 중복로그인이 되고 있는 부분이 있어

SessionManageFilter를 안 타는게 아닌가 싶어 질문드려봅니다!!!

이 글과 비슷한 Q&A