• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

세션 클러스터링을 한 이후 동시로그인 제한이 안되는데요

23.08.01 21:13 작성 조회수 484

0

안녕하십니까

강사님 강의를 듣고 여기 커뮤니티에 나름 최신 소스 받아서 시큐리티 구현중인데요

이중화 환경에서 톰캣을 통해 세션을 공유하는것까지는 되었는데요

동시 로그인제한이 안되는데 추가적인 설정을 무엇을 해야할지 모르겠는데

도움좀 받을수 있을까요?

 

스프링 2.7.10

스프링 시큐리티 5.7.7

 

// 시큐리티 설정부분

@Slf4j
@RequiredArgsConstructor
@EnableWebSecurity
@Configuration
public class WebSecurityConfig {

    private final MemberRepository memberRepository;

    @Bean
    public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {

        // 경로 설정
        http.
                authorizeRequests()
                .antMatchers().permitAll()               
                .anyRequest().authenticated()
        ;

        // 동시 로그인 제한을 설정
        http
                .sessionManagement()
                .maximumSessions(1)
                .expiredUrl("/error/expired")
                .and().sessionCreationPolicy(SessionCreationPolicy.ALWAYS)

        ;


        http.logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .invalidateHttpSession(true)
                .clearAuthentication(true)
                .deleteCookies("JSESSIONID")
        ;

		// 로그인... 인증 권한 체크...
	
        // 로그인
        return http.build();

    }

    /**
     * 여기에 Authentication 을 설정하도록
     */
    @Bean
    AuthenticationManager authenticationManager(AuthenticationConfiguration authConfiguration) throws Exception {
        return authConfiguration.getAuthenticationManager();
    }


    @Bean
    public static PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }


}

 

 

 

// 톰캣 클러스터링 부분 (https://happy-jjang-a.tistory.com/155를 참조했습니다.)

@Configuration
public class TomcatClusterConfig implements WebServerFactoryCustomizer<TomcatServletWebServerFactory> {
    @Override
    public void customize(final TomcatServletWebServerFactory factory) {
        factory.addContextCustomizers(new TomcatClusterContextCustomizer());
    }
}
class TomcatClusterContextCustomizer implements TomcatContextCustomizer {
    @Override
    public void customize(final Context context) {
        context.setDistributable(true); 

        DeltaManager manager = new DeltaManager();
        manager.setExpireSessionsOnShutdown(false);
        manager.setNotifyListenersOnReplication(true);
        context.setManager(manager);
        configureCluster((Engine) context.getParent().getParent());
    }
    private void configureCluster(Engine engine) {
        //cluster
        SimpleTcpCluster cluster = new SimpleTcpCluster();
        cluster.setChannelSendOptions(6);

        //channel
        GroupChannel channel = new GroupChannel();
        //membership setting
        McastService mcastService = new McastService();
        mcastService.setAddress("228.0.0.4");
        mcastService.setPort(45564); // TCP&UDP port 오픈 필요
        mcastService.setFrequency(500);
        mcastService.setDropTime(3000);
        channel.setMembershipService(mcastService);

        //receiver
        NioReceiver receiver = new NioReceiver();
        receiver.setAddress("auto");
        receiver.setMaxThreads(6);
        receiver.setPort(5000); // TCP port 오픈 필요
        channel.setChannelReceiver(receiver);

        //sender
        ReplicationTransmitter sender = new ReplicationTransmitter();
        sender.setTransport(new PooledParallelSender());
        channel.setChannelSender(sender);

        //interceptor
        channel.addInterceptor(new TcpPingInterceptor());
        channel.addInterceptor(new TcpFailureDetector());
        channel.addInterceptor(new MessageDispatchInterceptor());
        cluster.addValve(new ReplicationValve());
        cluster.addValve(new JvmRouteBinderValve());
        cluster.setChannel(channel);
        cluster.addClusterListener(new ClusterSessionListener());
        engine.setCluster(cluster);
    }
}

 

 

 

 

 

 

 

 

 

 

 

course-thumbnail

스프링 시큐리티

3) 인증 처리자 - AjaxAuthenticationProvider

강의실 바로가기

답변 1

답변을 작성해보세요.

0

정수원님의 프로필

정수원

지식공유자

2023.08.02

maximumSessions(1) 은 동일한 세션이 아닌 다른 세션에서 같은 사용자 계정을 사용해서 로그인 할 경우 중복을 허용하지 않는다는 개념입니다.

세션 클러스터링을 한 상태에서 동시 로그인제한이 안되는 것이 어떤 상황에서 발생한 것인지 설명 좀 부탁드립니다.

그리고 SessionCreationPolicy.ALWAYS 은 스프링 시큐리티가 무조건 새로운 세션을 생성한다는 의미인데 그렇게 설정한 이유가 있을까요?

znznwkdrns님의 프로필

znznwkdrns

질문자

2023.08.02

서버를 하나만 띄운다고 가정했을땐 maximumSessions(1) 옵션이

적용이 되어 같은 사용자 계정으로 중복 로그인이 안됐는데요

다중 서버를 고려하여 구현을 하는데

위의 톰캣관련 코드를 적용시 세션 데이터는 공유가 되는데

다중 서버에 각각 로그인을 하면 중복 로그인이 허용되더라고요

그래서 일단 찾은 방법으로는

톰캣 대신 레디스로 세션 클러스터링 후

    @Bean
    public SpringSessionBackedSessionRegistry<? extends Session> springSessionBackedSessionRegistry(RedisIndexedSessionRepository redisIndexedSessionRepository) {
        return new SpringSessionBackedSessionRegistry<>(redisIndexedSessionRepository);
    }

위의 코드를 적용하니 모든 서버에서 한번만 로그인이 되어 중복로그인이 막아지기는 했습니다.

sessionCreationPolicy(SessionCreationPolicy.ALWAYS) 는 이거저거 하다 쓴거 같습니다.

 혹시 옵션만으로 스프링 내장 톰캣으로 세션 클러스터링한 환경에서 여러 모든 서버에 한번만 로그인이 되게끔 할 수 있을까요?

 

정수원님의 프로필

정수원

지식공유자

2023.08.02

동시 세션 제어 API 는 설정하신 것이 전부이긴 합니다

그리고 레디스에서 되었다면 코드에는 이상이 없는 것 같습니다.

톰캣 클러스터링이 레디스와 같이 사용자의 세션을 동일하게 관리하고 있는지 확인이 필요할 것 같습니다.

이 부분은 제가 시뮬레이션 하기가 어려워서 정확한 답변을 드리기가 어렵네요..

이 글과 비슷한 Q&A