常連

### 前提・実現したいこと
現在、JSPとサーブレットを用いてログイン機能を作っています。
JSPの入力フォームに「ログインID」と「パスワード」を用意しており、何も入力しない状態で、ログインボタンを押すと、
エラーメッセージがサーブレットからJSPに返ってくるようになっております。
エラーメッセージの返し方はdoPostメソッド内でセッションを生成し、そのセッションにエラーメッセージを格納後、
~~sendsendRedirect~~sendRedirectでJSPの画面に戻り、上記セッションを渡しているという仕組みを取っています。
この時、エラーメッセージが表示された後に、ブラウザのリロードボタンかもしくはF5を押してページの更新をした際にエラーメッセージが表示されないようにしたいのですが、どのようにすれば実現可能か、もしご存知の方がいらっしゃいましたら、ご教示頂けますと幸いです。

### 該当のソースコード

【Login.jsp】
```
<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%@ page import="java.util.ArrayList"%>
<%
HttpSession ses = request.getSession();
ArrayList<String> errorMsg = (ArrayList<String>) ses.getAttribute("errorMsg");
%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>ログイン画面</title>
<style>
h1 {
	font-size: 18px
}

h2 {
	font-size: 14px
}
</style>
</head>
<body>
	<h2>ログイン画面</h2>

	<%
	if (ses.getAttribute("sessionerror") != null) {
	%>
	<%=ses.getAttribute("sessionerror")%>
	<%
	}
	%>
	
	<%
	if (errorMsg != null) {
		for (int i = 0; i < errorMsg.size(); i++) {
	%>
	<ul><%=errorMsg.get(i)%></ul>
	<%
	}
	}
	%>

	<form method="POST" action="LoginAction" name="validataion">
		<table>
			<tr>
				<td>ユーザーID：</td>
				<td><input type="text" name="user_id"></td>
			</tr>
			<tr>
				<td>パスワード：</td>
				<td><input type="password" name="user_pass"></td>
			</tr>
			<tr>
				<td>
			<tr>
				<td><input type="submit" value="ログイン"></td>
			</tr>
		</table>
	</form>
</body>
</html>
```
【LoginAction.java】
```
package main;

import java.io.IOException;
import java.sql.SQLException;
import java.util.ArrayList;

import jakarta.servlet.RequestDispatcher;
import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import jakarta.servlet.http.HttpSession;

/**
 * Servlet implementation class LoginAction
 */
@WebServlet("/LoginAction")
public class LoginAction extends HttpServlet {
	private static final long serialVersionUID = 1L;
	
	//バリデーションのためのエラーメッセージ
	final String BLANK_USRID_MSG = "ユーザーIDが入力されていません。";
	final String BLANK_PASSWORD_MSG = "パスワードが入力されていません。";
	
	/**
	 * Default constructor. 
	 */
	public LoginAction() {
		
		
	}
	/**
	 * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
	 */
	
	protected void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		
		}
	
	  
	/**
	 * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
	 */
	protected void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		
		//ログインページからユーザーIDとパスワードを取得
		String user_id = null;
		String user_pass = null;
		user_id = request.getParameter("user_id");
		user_pass = request.getParameter("user_pass");
		
		//エラーメッセージを格納する配列
		ArrayList<String> errorMsg = new ArrayList<String>();
		
		//USERテーブルから情報を取得してくるための準備
		ReservationDao connectdb = new ReservationDao();
		
		//セッションを生成
		HttpSession ses = request.getSession(true);
		
		//バリデーション
		if (user_id.isEmpty() && user_pass.isEmpty()) {
		//ユーザーIDおよびパスワードの入力フォームが空白の状態でログインボタンを押下場合
			errorMsg.add(BLANK_USRID_MSG);
			errorMsg.add(BLANK_PASSWORD_MSG);
		}
		//バリデーションに引っかかった場合エラーメッセージをログインページに返す
		ses.setAttribute("errorMsg", errorMsg);
		response.sendRedirect("/main");
		
	}
	
}


```

### 試したこと

セッション破棄の実装でやりたいことが実現できるのではないかと考えて、試してみたものの、どのタイミングで破棄を行うかがわからずといったところです。

【JSP ＆ サーブレット】リロード(F5ボタン)を押下時、sessionに格納して表示したエラーメッセージを削除したい。

### 実現したいこと

Gmailのように、複数アカウントを持っていて、
アカウントAでログインした後に、画面右上のアカウント選択で別のアカウント（アカウントB）を選択すると別タブでアカウントBのGmail画面が表示され、本タブでログインしたアカウントAと別タブでログインしたアカウントB、
両方とも操作できるようになると思います。

このようなセッション管理の仕組みが知りたいです。技術的にどのような知識が必要でしょうか？

想定しているWEBアプリケーションの構成は、
javascriptのFWはvue.jsでSPA。
サーバサイドはサーバレス（AWS Lambda Java）のインフラアーキテクチャとなります。

ざっくりとした質問で恐縮ですが、詳しい方、ご教示頂けますと幸いです。
何卒宜しくお願致します。

同ブラウザ、別タブでそれぞれセッション管理がしたい

フォームから送られたデータの、F5等での多重投稿を防ぐ方法として、よくトークンを発行であったりリダイレクトさせたりであったりといった方法が紹介されていますが、単にセッションの破棄だけでは不十分なのでしょうか？
下記のとおり、データベースへの書き込みを行なったあとにセッションの破棄で対応しようかと思うのですが・・・。
```PHP
if (isset($_POST['send'])) {
 $name = $_SESSION['name'];
 $kana = $_SESSION['kana'];
 $tel = $_SESSION['tel'];
 $email = $_SESSION['email'];
 $body = $_SESSION['body'];

 $sql = 'INSERT INTO contacts (name, kana, tel, email, body) VALUES (:name, :kana, :tel, :email, :body)';
 $stmt = $dbh->prepare($sql);
 $params = array(':name' => $name, ':kana' => $kana, ':tel' => $tel, ':email' => $email, ':body' => $body);
 $stmt->execute($params);

 $_SESSION = array();
 session_destroy();
}
```

セッションを破棄することだけでは、多重投稿を防げないのでしょうか？

Djangoでログイン認証画面を作成しています。
そこでふと、疑問に思ったので、質問させてください。

ECサイトなどのショッピングサイトで、ログイン者の情報などをセッションとクッキーを使って管理していると思います。

例えば下記のような形式でセッションIDがクッキーに保存されているとき

```
(key)        (value)
SESSION_KEY: asioudasfdawefas
```

ChromeプラグインのEditThisCookieなどのツールを用いて、ブルートフォース攻撃でvalueを改変・編集をした場合に容易に第三者になりますしてログインされてしまうんじゃないかと思ってしまいました。

ログイン画面のときのブルートフォース攻撃は、認証に3回失敗したら、しばらく無効になるとか対策をよく見ますが、クッキー改変による不正ログインに対しては、対策があるとはまったく聞きませんし、見たこともありません。

もし、そのような対策がしかれているのであれば、ご教示いただけませんでしょうか？

逆に、対策がされていないとなると、世の中のログインサイトは自分が思っている以上に相当危険な場所なのでしょうか？

cookieとセッションの乗っ取りについて（セッションハイジャック）

### 前提
Next.jsでAPI Routerにサーバーを立てそこに向けてaxios通信をしている

headerにcookieという名前で値を付与しているが、そもそもそのやり方が正しいのかわからない
### 実現したいこと
Axiosでcookieを送りたい

ディベロッパーツール→ネットワークのところにcookieのタブを表示させたい
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/fbf36834-b95e-4267-93a0-10e5689d28ce.png)
### 発生している問題・エラーメッセージ
axiosの設定でwithCredentials:trueにしても何も起こらない
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/31df6576-858c-41aa-980c-d7eb93d697a5.png)

フロント側から通信した場合
**Refused to set unsafe header "cookie"**というエラーでheaderに付与したcookieが送れない

サーバーサイドで通信した場合
headerに付与したcookieの値は送れている
### 該当のソースコード

フロント側で通信した場合(headerのcookieは送れない)
```
useEffect(()=>{
  axios.defaults.withCredentials=true
  
  axios({
    method:'POST',
    url:'/api/maker',
    headers:{cookie:'ttttt',withCredentials:true},
    withCredentials:true
        })
  .then(e=>{
    console.log(e.data)
   )
  })
},[])
```
サーバサイドで通信した場合(headerのcookieは送れているパターン)
```
    export const getServerSideProps = async (
      context: GetServerSidePropsContext,
    ) => {
          const create:AxiosInstance = axios.create({
            baseURL: 'http://localhost:3000',
            headers:{cookie:'ttttt',withCredentials:true},
            method:'POST',
            withCredentials:true
          })

      const res=await create({
        url:'/api/maker',
        withCredentials:true
      }).then((e)=>e)
     
      return {props:res.data}
    }
```
### 試したこと
フロントとサーバー側の両方で通信をすること
header内・外にwithCredentials:trueを記載すること
axios.defaults.withCredentials=trueで設定をすること

そもそもローカルホストだとcookieが使えないのでしょうか？


ご回答よろしくお願い致します


Axiosでcookieを送りたい

### 前提・実現したいこと

ASP.NET MVC5を使用してWebシステムを作成しています。質問はセッションタイムアウトの処理方法です。
セッション管理はInProcモードです。
セッションタイムアウトはデフォルトの20分です。
セッションタイムアウトのチェックはアクションフィルター(OnActionExecuting)を使用しています。アクションフィルターは、セッションタイムアウトが発生すると、強制的にセッションタイムアウト画面に遷移します。このため、セッションタイムアウトが発生すると、URLに示すControllerのアクションメソッドには制御は移りません。

### 発生している問題・エラーメッセージ
月に一回程度の頻度で、URLに示すControllerのアクションメソッドで、Sessionオブジェクトが未定義のNull参照エラーが発生しています。
Sessionオブジェクトはログイン成功時に必ず設定しているため、このオブジェクトがNullになるのはセッションタイムアウト時のみです。
　
エラーメッセージ
　Object reference not set to an instance of an object.

### 該当のソースコード
アクションフィルタのコードです。

```    public class SessionExpireFilterAttribute :ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            base.OnActionExecuting(filterContext);

            HttpContext context = HttpContext.Current;

            // セッション管理は有効か？
            if (context.Session != null)
            {
                // 新しいセッションIdが生成されたか？
                if (context.Session.IsNewSession)
                {
                    // 新しいクッキーが存在するなら、セッションタイムアウトと見なす
                    string sessionCookie = context.Request.Headers["Cookie"];
                    if ((null != sessionCookie) && (sessionCookie.IndexOf("ASP.NET_SessionId") >= 0))
                    {
                        // セッションタイムアウト画面へリダイレクトする
                        filterContext.Result=new RedirectResult("~/Account/SessionTimeOut");
                    }
                }
            }
            
        }
    }
```
###　エラーが発生したコード

```
        public ActionResult RegisterCommon(DateTime displayDay)
        {

            // 担当を自由に変更できる期間は2週間前まで
            var timeLimitDay = displayDay.AddDays(-14);
            // 本日
            var today = DateTime.Now.ToUniversalTime().AddHours(9).Date;
            // ユーザのIDを読み取る
            var membershipId = (string)Session["MEMBERSHIP_ID"];
            // 代行処理の場合、代行される人のIDを設定
            if ((String)Session["SUBSTITUTED_ID"] != null)
            {
                membershipId = (string)Session["SUBSTITUTED_ID"];
            }
            // 事務局か？
            var isAdministrator = false;
            if ((bool)Session["ADMINISTRATOR"])   <<<--ここで例外が発生
                isAdministrator = true;

            // 指定日の担当登録を全て読み取る
            var tantoItemsInDay = new List<Tanto>();
            tantoItemsInDay = db.TantoTbl
               .Where(item => item.Date == displayDay)
               .ToList();
 
            ・・・・・・・

            return View("Register", model);
        }

```


### 試したこと

エラーが発生しているControllerアクションメソッドでセッションタイムアウトを発生させて確認しましたが、正しくセッションタイムアウトを認識し、Null参照エラーは発生しません。
疑わしいのは、セッションタイムアウト判定アルゴリズムと睨んでいるのですが、ASP.NETにおけるセッションタイムアウト処理の情報が少なく、悩んでいます。
なお、使用しているセッションタイムアウト判定アルゴリズムは[stackOverflowに掲載されていたコード](https://stackoverflow.com/questions/42150933/asp-net-sessionid-cookie-behavior-explanation)を使っています。

### 補足情報（FW/ツールのバージョンなど）

ここにより詳細な情報を記載してください。

セッションタイムアウトの処理方法

## 前提
Javaの学習のため、Spring Bootを使用してWebアプリケーションを作成しています。
同一ユーザの多重ログインを禁止したく、webで色々と調べたのですが、上手く出来ず困っています。
※2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態。

## 環境
Java 8
Spring Boot 2.3.0
JPA
H2 Database
Thymeleaf
BootStrap 4.5.0

## 試したこと
まず、WebSecurityConfigurerAdapterを継承したクラスで、
以下のように最大セッション数を1にしました。

```Java
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    (省略)
	@Override
	protected void configure(HttpSecurity http) throws Exception {
        (省略)
		http.sessionManagement().maximumSessions(1);
        (省略)
}
```

その上でセッション作成を検知するために、
AbstractSecurityWebApplicationInitializerを継承したクラスで、
enableHttpSessionEventPublisher()がtrueを返すようにオーバーライドしました。

```Java
package com.example;

import org.springframework.core.annotation.Order;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

@Order(1)
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
	
	public SecurityWebApplicationInitializer() {
		super(SecurityConfig.class);
	}
	
	protected boolean enableHttpSessionEventPublisher() {
		return true;
	}

}
```

## 問題
上記のとおり実装しましたが、
2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態です。
そこで、デバッグしたり、カバレッジを確認したりしたところ、
新規に作成したSecurityWebApplicationInitializerクラスが呼ばれていないことが分かりました。
（正確に書くと実装したコンストラクタやメソッドが呼び出されていない状態）

サーブレット初期化時にAbstractSecurityWebApplicationInitializerを継承したクラスがあれば自動でフックされるという記事があったので、
上記の実装で呼び出されると思っていましたが、そうでもないようです。

何か気づくことがあればアドバイスをお願い致します。

## 追記
問題のプロジェクトとは別に、
多重ログイン禁止処理を確かめるためのプロジェクトを新規に作成して試してみました。

すると、WebSecurityConfigurerAdapterを継承したクラスに、
上記と同様、最大セッション数を1とするコードを書くと2重ログインを禁止出来ました。

そこから少しずつ、問題のプロジェクトに近づけていくと、
ログインに使用しているUSERテーブルのNAMEカラムを外部キーにもつMUTTERテーブルを作成し、
USERテーブルと関連性をもたせたタイミングで2重ログインが禁止できなくなりました。

ここからは予想なのですが、[この記事](https://qiita.com/rubytomato@github/items/a9a19f4a1cd5d732e5f8)によると、
多重ログインチェックを機能させるためには、UserDetailsを実装したクラスの中で、
equalsとhashCodeメソッドのオーバーライドを適切に行うことが必要らしく、
それが出来ていないのではないかと考えています。

その観点から考えたのですが、結局何が問題か分からず、アドバイスをお願い致します。
なお、DB操作にはJPAを利用しています。

[Userエンティティクラス]
```Java
package sample.spring.domain;

import java.io.Serializable;
import java.util.List;

import javax.persistence.CascadeType;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import javax.persistence.OneToMany;
import javax.persistence.Table;

import com.fasterxml.jackson.annotation.JsonIgnore;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

@Entity
@Table(name = "USER")
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(exclude = "mutters")
public class User implements Serializable {
	private static final long serialVersionUID = 1L;

	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	@Column(name = "USER_ID")
	private Integer Id;
	
	@Column(unique = true, nullable = false, name = "NAME", length = 64)
	private String name;

	@Column(nullable = false, name = "PASS", length = 80)
	@JsonIgnore
	private String pass;

	//　以下をコメントアウトすると2重ログインが禁止出来る
	@OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "user")
	private List<Mutter> mutters;

}
```

[UserDetailsを実装したUserクラスを継承したクラス]
```Java
package sample.spring.service;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import sample.spring.domain.User;

import lombok.Data;
import lombok.EqualsAndHashCode;

@Data
@EqualsAndHashCode(callSuper = true)
public class LoginUserDetails extends org.springframework.security.core.userdetails.User {
	private static final long serialVersionUID = 1L;
	private final User user;

	public LoginUserDetails(User user, Collection<GrantedAuthority> authorities) {
		super(user.getName(), user.getPass(), authorities);
		this.user = user;
	}

	/* lombokを使わずに実装してみた
	 * 
	 * public User getUser() {
	 *		return user;
	 *	}
	 * 
	 * @Override
	 * public int hashCode() {
	 * 	return user.getName().hashCode();
	 * }
	 * 
	 * @Override
	 * public boolean equals(Object rhs) { 
	 * 	if (rhs instanceof User) {
	 * 		return user.getName().equals(((LoginUserDetails) rhs).user.getName()); }
	 * 		return false;
	 * }
	 * 
	 * @Override
	 * public String toString(){ 
	 * 	StringBuilder sb = new StringBuilder();
	 * 	sb.append("Username: ").append(this.user.getName()).append("; ");
	 * 	sb.append("Password: [PROTECTED]; ");
	 * 
	 * 	return sb.toString();
	 * }
	 */

}
```

その他のクラスはGitHubにソースを配置したので、
必要であればご確認をお願い致します。
ウェブアプリのユーザ名とパスワードはそれぞれuser1とdemoです。

[https://github.com/uekiGityuto/test-session-control](https://github.com/uekiGityuto/test-session-control)


## 補足
上記で省略していた問題のあるプロジェクトで使用しているSecurityConfigの全量です。

```Java
package com.example;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import com.example.service.CustomAuthenticationFailurehandler;
import com.example.service.LoginUserDetailsService;

//アプリ起動時に読み込まれるコンフィグファイル
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	LoginUserDetailsService userDetailsService;

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	public void configure(WebSecurity web) throws Exception {
		web.ignoring().antMatchers("/webjars/**", "/css/**");
	}

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// ログインページを指定
		// ログインページへのアクセスは全員許可する
		http.formLogin().loginPage("/index").loginProcessingUrl("/authenticate").usernameParameter("name")
				.passwordParameter("pass").defaultSuccessUrl("/main", true)
				// failureHandlerを呼ばない場合は認証エラー時に"/index?error"にリダイレクトする
				.failureHandler(new CustomAuthenticationFailurehandler()).permitAll();

		// ユーザ登録ページへのアクセスは全員許可する。
		// それ以外は認証が必要とする
		// "/management/"以下はROLE_ADMINのユーザのみ認可する
		http.authorizeRequests().antMatchers("/index**").permitAll().antMatchers("/user/registration").permitAll()
				.antMatchers("/user/registerResult").permitAll().antMatchers("/user/gotoTop").permitAll()
				.antMatchers("/management/**").hasRole("ADMIN")// 'ROLE_'はつけない
				.anyRequest().authenticated();

		// ログアウト後に遷移するページを指定
		http.logout().logoutSuccessUrl("/index");

		// 二重ログインを禁止
		http.sessionManagement().maximumSessions(1);
	}

	// パスワードのエンコード方式を指定
	@Bean
	PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}

	// 認証処理（AuthenticationProvider）のカスタマイズ
	@Autowired
	void configureAuthenticationManager(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService)// DaoAuthenticationProviderが使用するUserDetailsServiceを指定
				.passwordEncoder(passwordEncoder());// DaoAuthenticationProviderが使用するPasswordEncoderを指定
	}

}
```

以上、宜しくお願い致します。

spring bootで同一ユーザの多重ログインを禁止したい

**セッションの有効期限を例えば3日後ぐらいに設定したら、クッキーの有効期限にも反映されるのでしょうか？**
・逆に、クッキーの有効期限を設定しても、セッションの有効期限には反映されない？

**「セッションの有効期限」と「クッキーの有効期限」は連動しているのでしょうか？**