-
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
SessionManagementFilter 동작여부
23.07.18 15:10 작성 조회수 459
0
선생님 안녕하세요.
질좋은 강의로 열심히 공부중에 질문이 생겨 글 남겨봅니다.
현재 ajaxLoginProcessingFilter 및 AjaxAuthenticationProvider 만들어서
http.addFilterBefore(ajaxLoginProcessingFilter(), UsernamePasswordAuthenticationFilter.class); 와 같이 설정해서 사용중인데 SessionManagementFilter까지 작동을 안하지는 sessionManagement 기능이 작동을 안합니다. 혹시 커스텀 객체들을 사용하면서 세션 제어를 할 수 있는 방법이 있을까요?
답변을 작성해보세요.
0
정수원
지식공유자2023.07.23
네
사용자가 직접 인증 필터를 생성할 경우 그리고 AbstractAuthenticationProcessingFilter 를 상속받았을 경우에는 동시세션을 제어하는 클래스를 생성해서 넣어주어야 합니다.
기본은 private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy(); 으로 되어 있습니다. 즉 Null 기능만 하는 클래스입니다.
스프링 시큐리티에서 사용하는 formLogin 같은 경우에는 초기화 될 때 시큐리티가 자동으로 설정해 주지만 사용자가 직접 필터를 생성할 경우에는 수동으로 넣는 작업을 해 주어야 합니다.
일단
SecurityConfig 와 AjaxLoginProcessingFilter 에 추가 코드가 필요합니다.
먼저 SecurityConfig 에서 HttpSecurity 객체를 AjaxLoginProcessingFilter 로 전달해 주어야 하고 AjaxLoginProcessingFilter 에서 HttpSecurity 객체를 참조해서 SessionAuthenticationStrategy 을 얻으면 됩니다.
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
생략...
http.addFilterBefore(ajaxLoginProcessingFilter(http), UsernamePasswordAuthenticationFilter.class);
생략...
}
// @Bean => 빈으로 생성하지 않아야 합니다. 이유는 HttpSecurity 객체를 수동으로 넣어 주어야 하기 때문입니다.
public AjaxLoginProcessingFilter ajaxLoginProcessingFilter(HttpSecurity http) {
AjaxLoginProcessingFilter filter = new AjaxLoginProcessingFilter(http); // HttpSecurity 를 생성자로 전달
filter.setAuthenticationManager(ajaxAuthenticationManager());
filter.setAuthenticationSuccessHandler(authenticationSuccessHandler());
filter.setAuthenticationFailureHandler(authenticationFailureHandler());
return filter;
}
AjaxLoginProcessingFilter.java
public class AjaxLoginProcessingFilter extends AbstractAuthenticationProcessingFilter {
private static Logger logger = LoggerFactory.getLogger(AjaxLoginProcessingFilter.class);
private final HttpSecurity http;
public AjaxLoginProcessingFilter(HttpSecurity http) {
super(new AntPathRequestMatcher("/login", "POST"));
this.http = http;
}
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException, IOException {
// SessionAuthenticationStrategy 구현체를 얻어와서 설정한다 SessionAuthenticationStrategy sessionAuthenticationStrategy = http.getSharedObject(SessionAuthenticationStrategy.class);
if (sessionAuthenticationStrategy != null) {
setSessionAuthenticationStrategy(sessionAuthenticationStrategy);
}
일단 이렇게 되면 SessionAuthenticationStrategy 는 정상적으로 작동을 하는데 인텔리제이에서 ajax.http 프로그램으로 테스트하면 요청할 때마다 새로운 세션이 생성이 되어서 동시적으로 세션이 중복되는 상황이 재현되지 않습니다.
브라우저에서 자바스크립트로 테스트 해 보시길 권해 드립니다.
0
soobin7999
질문자2023.07.19
https://github.com/ygpark11/security
현재까지 작업한 내용 업로드 해두었습니다.
일전에 질문드렸던 것처럼 해당 소스로 동일 계정으로 로그인 시도시
http
.sessionManagement()
.maximumSessions(1)
.maxSessionsPreventsLogin(true);
이 설정으로 인해 중복로그인이 불가해야 하는데 중복로그인이 되고 있는 부분이 있어
SessionManageFilter를 안 타는게 아닌가 싶어 질문드려봅니다!!!
답변 2