인프런 커뮤니티 질문&답변

@Override
protected void configure(HttpSecurity http) throws Exception {
        .logout()
        .clearAuthentication(true)
        .logoutRequestMatcher(new AntPathRequestMatcher("/api/v1/logout"))
        .logoutSuccessHandler(new LogoutHandler(homeService))

로그아웃 헨들러

@Slf4j
@RequiredArgsConstructor
public class LogoutHandler extends SimpleUrlLogoutSuccessHandler implements LogoutSuccessHandler {

    private final HomeService homeService;

    @Override
    @Transactional
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
        throws IOException, ServletException {

        LoginCode logout = homeService.logout(request, response);
        log.info("logout result : {}", logout.getDescription());

        ResponseCookie refreshToken = homeService.removeCookie(request);
        response.setHeader("Set-Cookie", refreshToken.toString());

        this.setDefaultTargetUrl("/login");
        super.onLogoutSuccess(request, response, authentication);
    }
}

이번에 QA를 진행해보아도

한 PC에서 로그인을 한 상태에서, 다른 QA분들 (약10분 정도) 가 로그인/로그아웃을 반복 수행했습니다.

동일하게 RoleVoter나, IpVoter쪽에서 context 검사 후 AuthenticationEntryPoint 이쪽에 걸렸습니다.

removeCookie 쪽에는 단순히 쿠키의 age를 0으로 재생성해주는 쿠키 제거 function 입니다.

로그아웃 과정에서 어떤 문제가 있길래 모든 context가 처리 되는지 알고 싶습니다..

감사합니다...!

질문 update

clearAuthentication

이부분이 혹시 전체 authentication을 삭제가 가능한가 싶어서 내부를 타고 들어가도

현재 인증 정보를 제거한다라는 로직 같기만 하고 제가 우려한 부분은 아니더라구요.

ip hash등의 임시 방편으로 이것이 해결이 되는 건가 싶었는데.

금일 라이브QA에서도 동일한 현상이 발생 했습니다.

강사님의 질문에 대해서 제가 정리를 해보면

request가 들어오면 filter에서 제가 생성한 context 로 rolevoter 등이 체크를 하고 response 할 때 context가 없어지는 것 같은데... 일반적인 java RequestContext 같은 것과 같은 의미로 전 이해했습니다.

그럼 logout쪽에 clearAuthentication 이나 logoutHandler쪽에 SecurityContextHoler.getContext().setAuthentication(null);

이런 적업을 안해줘도 되는 걸까요??

어차피 하나의 request 안에서만 생성 되고 없어지는 context 이니깐요.

감사합니다.

수강생 올림.

https://www.inflearn.com/questions/53657 이거랑 비슷한 이슈인 것 같기도 하구요..