인프런 커뮤니티 질문&답변

YoungJin Hwang님의 프로필 이미지
YoungJin Hwang

작성한 질문수

스프링 시큐리티

10) 세션 제어 필터 : SessionManagementFilter, ConcurrentSessionFilter

ConcurrentSessionControlAuthenticationStrategy 질문입니다!

작성

·

800

1

현재 Ajax 방식 로그인을 위해 해당 강의에서 나온 방식으로 AbstractAuthenticationProcessingFilter를 상속받아  Filter를 커스텀하여 로그인 기능이 구현되어있습니다.

이후 동시세션 제어를 위해 securityConfig에서 아래 코드를 적용하였지만

http
                .sessionManagement()
                .maximumSessions(1);

AuthenticationProcessingFilter를 커스텀하여 

ConcurrentSessionControlAuthenticationStrategy이 적용되지 않는것 같은데 적용하는 방법을 알 수 있을까요?!

javaSpring Securityspring-boot

답변 2

1

정수원님의 프로필 이미지
정수원
지식공유자

LoginProcessingFilter 가 AuthenticationProcessingFilter 를 상속해서 구현하셨다면 

인증에 성공한 이후 AuthenticationProcessingFilter 의 처리 과정에 다음과 같은 부분이 있습니다.

authResult 가 인증에 성공한 이후 리턴된 Authentication 객체이고 이것을 sessionStrategy 가 사용하고 있습니다.

sessionStrategy 의 여러 구현체 중에 ConcurrentSessionControlAuthenticationStrategy 가 있는데 위의 sessionStrategy.onAuthentication(authResult, request, response) 구문이 동시적 세션 제어를 담당하는ConcurrentSessionControlAuthenticationStrategy 의 처리 과정이 있습니다.

ConcurrentSessionControlAuthenticationStrategy 는 동시적 세션 제어와 관련된 작업을 하게 되는데 인증 처리 이후 이 부분을 타고 있는지 디버깅을 해 보시길 바랍니다.

만약 타지 않는다면 원인을 파악해야 하고 타고 있는데도 동시적 세션 제어 기능이 제대로 동작하지 않는다면  ConcurrentSessionControlAuthenticationStrategy 에 보시면 아래와 같은 구문이 있습니다.

이 부분을 디버깅하시면서 원인을 파악해야 합니다.
이 구문을 타고 있는지 보시고 조건에 따른 처리가 어떻게 이루어지는지 보시기 바랍니다.

해 보시고 추가 질문이 있으시면 남겨 주시기 바랍니다.

0

정수원님의 프로필 이미지
정수원
지식공유자

github 소스 공유 가능할까요

YoungJin Hwang님의 프로필 이미지
YoungJin Hwang
질문자

선생님! 아래 코드를 적용하여 해결했습니다!!

    @Bean
    public LoginProcessingFilter loginProcessingFilter() throws Exception {
        LoginProcessingFilter loginProcessingFilter = new LoginProcessingFilter();
        loginProcessingFilter.setAuthenticationManager(authenticationManagerBean());
        loginProcessingFilter.setAuthenticationSuccessHandler(ajaxAuthenticationSuccessHandler());
        loginProcessingFilter.setAuthenticationFailureHandler(ajaxAuthenticationFailureHandler());
        loginProcessingFilter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy());
        return loginProcessingFilter;
    }

    @Autowired
    private SessionRegistry sessionRegistry;

    @Bean
    public SessionRegistry sessionRegistry() {
        if (sessionRegistry == null) {
            sessionRegistry = new SessionRegistryImpl();
        }
        return sessionRegistry;
    }


    @Bean
    public CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy(){
        ConcurrentSessionControlAuthenticationStrategy concurrentSessionControlAuthenticationStrategy=
         new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
        concurrentSessionControlAuthenticationStrategy.setMaximumSessions(1);
        concurrentSessionControlAuthenticationStrategy.setExceptionIfMaximumExceeded(false);
        SessionFixationProtectionStrategy sessionFixationProtectionStrategy=new SessionFixationProtectionStrategy();
        ChangeSessionIdAuthenticationStrategy changeSessionIdAuthenticationStrategy = new ChangeSessionIdAuthenticationStrategy();
        RegisterSessionAuthenticationStrategy registerSessionStrategy = new RegisterSessionAuthenticationStrategy(sessionRegistry());
        CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy=new CompositeSessionAuthenticationStrategy(
                Arrays.asList(concurrentSessionControlAuthenticationStrategy,changeSessionIdAuthenticationStrategy,sessionFixationProtectionStrategy,registerSessionStrategy));
        return sessionAuthenticationStrategy;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
                .sessionManagement()
                .maximumSessions(1);

정수원님의 프로필 이미지
정수원
지식공유자

아 네 ^^

직접 빈을 만들어서 설정해 버렸군요~

다만 CompositeSessionAuthenticationStrategy 클래스가 빈으로 되어 있기 때문에 LoginProcessingFilter 에서만 사용하는지 아니면 다른 곳에서도 참조를 하고 있는지는 확인해 보시면 좋을 것 같습니다.

세션관련 처리를 하기 때문에 기존의 스프링 시큐리티에서 사용하고 있는 CompositeSessionAuthenticationStrategy 클래스와 직접 생성한 CompositeSessionAuthenticationStrategy 가 서로 충돌하는 지점은 없는지, 중복실행되는 지점은 없는지 등 체크가 되면 더 좋을 것 같습니다.

YoungJin Hwang님의 프로필 이미지
YoungJin Hwang

작성한 질문수

전체 Q&A
질문하기