teratail
回答率
85.37%
teratail 10th-anniversary
teratail 10th-anniversary
質問するログイン新規登録
トップSpring Securityに関する質問spring bootで同一ユーザの多重ログインを禁止したい

編集履歴

回答編集履歴

1

追記

2020/06/17 14:16

投稿

rubytomato
rubytomato

スコア1752

test CHANGED
@@ -387,3 +387,181 @@
387
387
 
388
388
 
389
389
  ![イメージ説明](2b191801f3e0c206e4b7ebf96e1db8d4.gif)
390
+
391
+
392
+
393
+ **追記**
394
+
395
+
396
+
397
+ Spring Frameworkのプロジェクトの中で特に理解するのが難しいのがSpring Securityです。
398
+
399
+ 私もわからないことだらけなので詳しく説明できない部分もありますがご了承ください。
400
+
401
+
402
+
403
+
404
+
405
+ > 原因はsuperクラスのequalsとhashCodeメソッドを使用できていなかったことでしょうか?
406
+
407
+ > もしそうであるならば、
408
+
409
+
410
+
411
+ lombokの`@Data`アノテーションを付与するとアクセサメソッドが追加され、さらに`hashCode`、`equals`、`toString`メソッドがオーバーライドされます。
412
+
413
+ この`hashCode`、`equals`メソッドが不適切なコードでオーバーライドされるために期待する動作にならなかったという理解です。
414
+
415
+
416
+
417
+ > 元々、@EqualsAndHashCode(callSuper = true)と書いていたので、
418
+
419
+ > super classのequalsとhashCodeメソッドを利用していると思っていたのですが、
420
+
421
+ > 私の理解が違うのでしょうか。
422
+
423
+
424
+
425
+ `@EqualsAndHashCode(callSuper = true)`も`equals`、`toString`メソッドがオーバーライドされますが、スーパークラスのメソッドを利用する(呼ぶ)という動きではないようです。
426
+
427
+
428
+
429
+ > sessionRegistry(sessionRegistry())がないと、
430
+
431
+ > ログアウト後もセッションが残り続け、再ログインができなくなると教えて頂きましたが、
432
+
433
+ > ここが良く分かりませんでした。
434
+
435
+
436
+
437
+ 挙動を確認するのが一番だと思いますので、ソースコードを以下のように修正して試してみてください。
438
+
439
+ セキュリティコンフィグレーションのセッション制御の部分と追加したメソッドをコメントアウトします。
440
+
441
+
442
+
443
+ ```java
444
+
445
+ .sessionManagement()
446
+
447
+ .maximumSessions(1)
448
+
449
+ .maxSessionsPreventsLogin(true)
450
+
451
+ // .sessionRegistry(sessionRegistry())
452
+
453
+ ```
454
+
455
+
456
+
457
+ ```java
458
+
459
+ /*
460
+
461
+ // Work around https://jira.spring.io/browse/SEC-2855
462
+
463
+ @Bean
464
+
465
+ public SessionRegistry sessionRegistry() {
466
+
467
+ SessionRegistry sessionRegistry = new SessionRegistryImpl();
468
+
469
+ return sessionRegistry;
470
+
471
+ }
472
+
473
+
474
+
475
+ // Register HttpSessionEventPublisher
476
+
477
+ @Bean
478
+
479
+ public static ServletListenerRegistrationBean httpSessionEventPublisher() {
480
+
481
+ return new ServletListenerRegistrationBean(new HttpSessionEventPublisher());
482
+
483
+ }
484
+
485
+ */
486
+
487
+
488
+
489
+ ```
490
+
491
+
492
+
493
+ 修正が終わったらアプリケーションを起動し、ログイン → ログアウト → ログインを行ってみてください。
494
+
495
+ 2度目のログインができないと思います。(ブラウザを立ち上げなおしてもログインできません)
496
+
497
+ これはサーバー側でセッションが有効なままだということだと思います。
498
+
499
+
500
+
501
+ この挙動を回避するために上記でコメントアウトした部分が必要になります。
502
+
503
+
504
+
505
+
506
+
507
+ > 紹介して頂いたページを参照して、sessionRegistryがBeanとして公開されないので、
508
+
509
+ > 上記のコーディングをしているのはなんとなく理解できたのですが、
510
+
511
+ > sessionRegistryを公開しないとログアウト時にセッションを破棄出来ないのでしょうか。
512
+
513
+
514
+
515
+ > springは特別な実装をしなくても、ログアウト時にセッションを破棄する仕様だと思うのですが、
516
+
517
+ > 多重ログインを禁止しているとこの仕様が無効になってしまうのでしょうか。
518
+
519
+
520
+
521
+ このあたりの挙動は私自身もよくわかりません。
522
+
523
+ ちなみにログアウト時にセッションを破棄する処理はセキュリティコンフィグレーションの以下の部分で行いますが、
524
+
525
+ この部分だけあっても上記の2度目のログインはできません。
526
+
527
+
528
+
529
+ ```java
530
+
531
+ .logout()
532
+
533
+ .logoutSuccessUrl("/index")
534
+
535
+ .deleteCookies("JSESSIONID")
536
+
537
+ .invalidateHttpSession(true)
538
+
539
+ ```
540
+
541
+
542
+
543
+
544
+
545
+ > rubytomato様のgithubにあるセキュリティコンフィグレーションの最後に、
546
+
547
+ > httpSessionEventPublisher()メソッドを定義していると思いますが、
548
+
549
+ > これは具体的に何をする処理なのでしょうか。
550
+
551
+
552
+
553
+ こちらもよくわかりません。
554
+
555
+ コード自体は[Spring Security logout and Maximum sessions](https://stackoverflow.com/questions/41429778/spring-security-logout-and-maximum-sessions)を参考しました。
556
+
557
+ `sessionRegistry()`と`httpSessionEventPublisher()`の両方で機能するらしく、どちらか欠けても期待する動作にはなりません。
558
+
559
+
560
+
561
+
562
+
563
+ 私が答えられるのは以上になりますが、おそらくこれでは納得できない部分もあると思います。
564
+
565
+ その場合は改めて質問を立ててください。より詳しい回答者からもっとよい回答が得られると思います。
566
+
567
+ 一番いいのはstackoverflow(英語版の方)で質問することです。もしかするとSpring Securityの開発者の方から回答が貰えるかもしれません。