常連

### 実現したいこと

Gmailのように、複数アカウントを持っていて、
アカウントAでログインした後に、画面右上のアカウント選択で別のアカウント（アカウントB）を選択すると別タブでアカウントBのGmail画面が表示され、本タブでログインしたアカウントAと別タブでログインしたアカウントB、
両方とも操作できるようになると思います。

このようなセッション管理の仕組みが知りたいです。技術的にどのような知識が必要でしょうか？

想定しているWEBアプリケーションの構成は、
javascriptのFWはvue.jsでSPA。
サーバサイドはサーバレス（AWS Lambda Java）のインフラアーキテクチャとなります。

ざっくりとした質問で恐縮ですが、詳しい方、ご教示頂けますと幸いです。
何卒宜しくお願致します。

同ブラウザ、別タブでそれぞれセッション管理がしたい

### 前提・実現したいこと

ASP.NET MVC5を使用してWebシステムを作成しています。質問はセッションタイムアウトの処理方法です。
セッション管理はInProcモードです。
セッションタイムアウトはデフォルトの20分です。
セッションタイムアウトのチェックはアクションフィルター(OnActionExecuting)を使用しています。アクションフィルターは、セッションタイムアウトが発生すると、強制的にセッションタイムアウト画面に遷移します。このため、セッションタイムアウトが発生すると、URLに示すControllerのアクションメソッドには制御は移りません。

### 発生している問題・エラーメッセージ
月に一回程度の頻度で、URLに示すControllerのアクションメソッドで、Sessionオブジェクトが未定義のNull参照エラーが発生しています。
Sessionオブジェクトはログイン成功時に必ず設定しているため、このオブジェクトがNullになるのはセッションタイムアウト時のみです。
　
エラーメッセージ
　Object reference not set to an instance of an object.

### 該当のソースコード
アクションフィルタのコードです。

```    public class SessionExpireFilterAttribute :ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            base.OnActionExecuting(filterContext);

            HttpContext context = HttpContext.Current;

            // セッション管理は有効か？
            if (context.Session != null)
            {
                // 新しいセッションIdが生成されたか？
                if (context.Session.IsNewSession)
                {
                    // 新しいクッキーが存在するなら、セッションタイムアウトと見なす
                    string sessionCookie = context.Request.Headers["Cookie"];
                    if ((null != sessionCookie) && (sessionCookie.IndexOf("ASP.NET_SessionId") >= 0))
                    {
                        // セッションタイムアウト画面へリダイレクトする
                        filterContext.Result=new RedirectResult("~/Account/SessionTimeOut");
                    }
                }
            }
            
        }
    }
```
###　エラーが発生したコード

```
        public ActionResult RegisterCommon(DateTime displayDay)
        {

            // 担当を自由に変更できる期間は2週間前まで
            var timeLimitDay = displayDay.AddDays(-14);
            // 本日
            var today = DateTime.Now.ToUniversalTime().AddHours(9).Date;
            // ユーザのIDを読み取る
            var membershipId = (string)Session["MEMBERSHIP_ID"];
            // 代行処理の場合、代行される人のIDを設定
            if ((String)Session["SUBSTITUTED_ID"] != null)
            {
                membershipId = (string)Session["SUBSTITUTED_ID"];
            }
            // 事務局か？
            var isAdministrator = false;
            if ((bool)Session["ADMINISTRATOR"])   <<<--ここで例外が発生
                isAdministrator = true;

            // 指定日の担当登録を全て読み取る
            var tantoItemsInDay = new List<Tanto>();
            tantoItemsInDay = db.TantoTbl
               .Where(item => item.Date == displayDay)
               .ToList();
 
            ・・・・・・・

            return View("Register", model);
        }

```


### 試したこと

エラーが発生しているControllerアクションメソッドでセッションタイムアウトを発生させて確認しましたが、正しくセッションタイムアウトを認識し、Null参照エラーは発生しません。
疑わしいのは、セッションタイムアウト判定アルゴリズムと睨んでいるのですが、ASP.NETにおけるセッションタイムアウト処理の情報が少なく、悩んでいます。
なお、使用しているセッションタイムアウト判定アルゴリズムは[stackOverflowに掲載されていたコード](https://stackoverflow.com/questions/42150933/asp-net-sessionid-cookie-behavior-explanation)を使っています。

### 補足情報（FW/ツールのバージョンなど）

ここにより詳細な情報を記載してください。

セッションタイムアウトの処理方法

**セッションの有効期限を例えば3日後ぐらいに設定したら、クッキーの有効期限にも反映されるのでしょうか？**
・逆に、クッキーの有効期限を設定しても、セッションの有効期限には反映されない？

**「セッションの有効期限」と「クッキーの有効期限」は連動しているのでしょうか？**

セッションの有効期限を設定したら、クッキーの有効期限にも反映される？

## 前提
Javaの学習のため、Spring Bootを使用してWebアプリケーションを作成しています。
同一ユーザの多重ログインを禁止したく、webで色々と調べたのですが、上手く出来ず困っています。
※2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態。

## 環境
Java 8
Spring Boot 2.3.0
JPA
H2 Database
Thymeleaf
BootStrap 4.5.0

## 試したこと
まず、WebSecurityConfigurerAdapterを継承したクラスで、
以下のように最大セッション数を1にしました。

```Java
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    (省略)
	@Override
	protected void configure(HttpSecurity http) throws Exception {
        (省略)
		http.sessionManagement().maximumSessions(1);
        (省略)
}
```

その上でセッション作成を検知するために、
AbstractSecurityWebApplicationInitializerを継承したクラスで、
enableHttpSessionEventPublisher()がtrueを返すようにオーバーライドしました。

```Java
package com.example;

import org.springframework.core.annotation.Order;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

@Order(1)
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
	
	public SecurityWebApplicationInitializer() {
		super(SecurityConfig.class);
	}
	
	protected boolean enableHttpSessionEventPublisher() {
		return true;
	}

}
```

## 問題
上記のとおり実装しましたが、
2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態です。
そこで、デバッグしたり、カバレッジを確認したりしたところ、
新規に作成したSecurityWebApplicationInitializerクラスが呼ばれていないことが分かりました。
（正確に書くと実装したコンストラクタやメソッドが呼び出されていない状態）

サーブレット初期化時にAbstractSecurityWebApplicationInitializerを継承したクラスがあれば自動でフックされるという記事があったので、
上記の実装で呼び出されると思っていましたが、そうでもないようです。

何か気づくことがあればアドバイスをお願い致します。

## 追記
問題のプロジェクトとは別に、
多重ログイン禁止処理を確かめるためのプロジェクトを新規に作成して試してみました。

すると、WebSecurityConfigurerAdapterを継承したクラスに、
上記と同様、最大セッション数を1とするコードを書くと2重ログインを禁止出来ました。

そこから少しずつ、問題のプロジェクトに近づけていくと、
ログインに使用しているUSERテーブルのNAMEカラムを外部キーにもつMUTTERテーブルを作成し、
USERテーブルと関連性をもたせたタイミングで2重ログインが禁止できなくなりました。

ここからは予想なのですが、[この記事](https://qiita.com/rubytomato@github/items/a9a19f4a1cd5d732e5f8)によると、
多重ログインチェックを機能させるためには、UserDetailsを実装したクラスの中で、
equalsとhashCodeメソッドのオーバーライドを適切に行うことが必要らしく、
それが出来ていないのではないかと考えています。

その観点から考えたのですが、結局何が問題か分からず、アドバイスをお願い致します。
なお、DB操作にはJPAを利用しています。

[Userエンティティクラス]
```Java
package sample.spring.domain;

import java.io.Serializable;
import java.util.List;

import javax.persistence.CascadeType;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import javax.persistence.OneToMany;
import javax.persistence.Table;

import com.fasterxml.jackson.annotation.JsonIgnore;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

@Entity
@Table(name = "USER")
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(exclude = "mutters")
public class User implements Serializable {
	private static final long serialVersionUID = 1L;

	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	@Column(name = "USER_ID")
	private Integer Id;
	
	@Column(unique = true, nullable = false, name = "NAME", length = 64)
	private String name;

	@Column(nullable = false, name = "PASS", length = 80)
	@JsonIgnore
	private String pass;

	//　以下をコメントアウトすると2重ログインが禁止出来る
	@OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "user")
	private List<Mutter> mutters;

}
```

[UserDetailsを実装したUserクラスを継承したクラス]
```Java
package sample.spring.service;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import sample.spring.domain.User;

import lombok.Data;
import lombok.EqualsAndHashCode;

@Data
@EqualsAndHashCode(callSuper = true)
public class LoginUserDetails extends org.springframework.security.core.userdetails.User {
	private static final long serialVersionUID = 1L;
	private final User user;

	public LoginUserDetails(User user, Collection<GrantedAuthority> authorities) {
		super(user.getName(), user.getPass(), authorities);
		this.user = user;
	}

	/* lombokを使わずに実装してみた
	 * 
	 * public User getUser() {
	 *		return user;
	 *	}
	 * 
	 * @Override
	 * public int hashCode() {
	 * 	return user.getName().hashCode();
	 * }
	 * 
	 * @Override
	 * public boolean equals(Object rhs) { 
	 * 	if (rhs instanceof User) {
	 * 		return user.getName().equals(((LoginUserDetails) rhs).user.getName()); }
	 * 		return false;
	 * }
	 * 
	 * @Override
	 * public String toString(){ 
	 * 	StringBuilder sb = new StringBuilder();
	 * 	sb.append("Username: ").append(this.user.getName()).append("; ");
	 * 	sb.append("Password: [PROTECTED]; ");
	 * 
	 * 	return sb.toString();
	 * }
	 */

}
```

その他のクラスはGitHubにソースを配置したので、
必要であればご確認をお願い致します。
ウェブアプリのユーザ名とパスワードはそれぞれuser1とdemoです。

[https://github.com/uekiGityuto/test-session-control](https://github.com/uekiGityuto/test-session-control)


## 補足
上記で省略していた問題のあるプロジェクトで使用しているSecurityConfigの全量です。

```Java
package com.example;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import com.example.service.CustomAuthenticationFailurehandler;
import com.example.service.LoginUserDetailsService;

//アプリ起動時に読み込まれるコンフィグファイル
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	LoginUserDetailsService userDetailsService;

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	public void configure(WebSecurity web) throws Exception {
		web.ignoring().antMatchers("/webjars/**", "/css/**");
	}

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// ログインページを指定
		// ログインページへのアクセスは全員許可する
		http.formLogin().loginPage("/index").loginProcessingUrl("/authenticate").usernameParameter("name")
				.passwordParameter("pass").defaultSuccessUrl("/main", true)
				// failureHandlerを呼ばない場合は認証エラー時に"/index?error"にリダイレクトする
				.failureHandler(new CustomAuthenticationFailurehandler()).permitAll();

		// ユーザ登録ページへのアクセスは全員許可する。
		// それ以外は認証が必要とする
		// "/management/"以下はROLE_ADMINのユーザのみ認可する
		http.authorizeRequests().antMatchers("/index**").permitAll().antMatchers("/user/registration").permitAll()
				.antMatchers("/user/registerResult").permitAll().antMatchers("/user/gotoTop").permitAll()
				.antMatchers("/management/**").hasRole("ADMIN")// 'ROLE_'はつけない
				.anyRequest().authenticated();

		// ログアウト後に遷移するページを指定
		http.logout().logoutSuccessUrl("/index");

		// 二重ログインを禁止
		http.sessionManagement().maximumSessions(1);
	}

	// パスワードのエンコード方式を指定
	@Bean
	PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}

	// 認証処理（AuthenticationProvider）のカスタマイズ
	@Autowired
	void configureAuthenticationManager(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService)// DaoAuthenticationProviderが使用するUserDetailsServiceを指定
				.passwordEncoder(passwordEncoder());// DaoAuthenticationProviderが使用するPasswordEncoderを指定
	}

}
```

以上、宜しくお願い致します。

spring bootで同一ユーザの多重ログインを禁止したい

ユーザーが指定した条件に応じてデータを取得してグラフを描画する機能を実装しています。サーバー側の言語はNode.jsを使っています。

決定ボタンを押すと入力された指定条件をクエリパラメータに変換して画面遷移をするという仕組みになっています。

入力内容を画面遷移後にも保持したいのですが、どのような方法が考えられるでしょうか？
自分で調べてみると入力内容をセッション変数に保存するというものが多く出てきたのですが、フォーム送信の場合を想定したものが多く、自分のケースに当てはまるのかよく分からなかったので質問させていただきました。

```HTML
 <div class="search-box col-md-6">
      <p>[ 条件を指定してデータを取得する ]</p>
      <div class="search-items">
          <div class="radio-inputs">
              <input type="radio" name="gender" value="male" class="gender-inp">
              <label for="inq1">男性</label>
              <input type="radio" name="gender" value="famale" class="gender-inp">
              <label for="inq2">女性</label>
              <input type="radio" name="gender" value="" class="gender-inp">
              <label for="inq3">指定なし</label><br>
          </div>
          <input type="text" name="minAge" class="age-inp"><span>才 〜</span><input type="text" name="maxAge" class="inp age-inp"><span>才</span><br>
          <a class="btn btn-secondary search" id="search">決定</a>
      </div>
 </div>
```

```JavaScript
const searchButton = document.getElementById('search');

searchButton.onclick = () => {
  const inputs = document.querySelectorAll('.age-inp');
  const keyval1 = [...inputs]
    .filter((e) => e.value)
    .map((e) => [e.name, e.value]);

  const radioInputs = document.querySelectorAll('.gender-inp');
  const keyval2 = [...radioInputs]
    .filter((e) => e.checked && e.value)
    .map((e) => [e.name, e.value]);

  const keyval = keyval1.concat(keyval2);

  const searchParams = new URLSearchParams(keyval);
  const href = `?${searchParams.toString()}`;
  searchButton.setAttribute('href', href);
};

```

画面遷移後に値を保持する方法（Node.js）

### 前提
Next.jsでAPI Routerにサーバーを立てそこに向けてaxios通信をしている

headerにcookieという名前で値を付与しているが、そもそもそのやり方が正しいのかわからない
### 実現したいこと
Axiosでcookieを送りたい

ディベロッパーツール→ネットワークのところにcookieのタブを表示させたい
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/fbf36834-b95e-4267-93a0-10e5689d28ce.png)
### 発生している問題・エラーメッセージ
axiosの設定でwithCredentials:trueにしても何も起こらない
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/31df6576-858c-41aa-980c-d7eb93d697a5.png)

フロント側から通信した場合
**Refused to set unsafe header "cookie"**というエラーでheaderに付与したcookieが送れない

サーバーサイドで通信した場合
headerに付与したcookieの値は送れている
### 該当のソースコード

フロント側で通信した場合(headerのcookieは送れない)
```
useEffect(()=>{
  axios.defaults.withCredentials=true
  
  axios({
    method:'POST',
    url:'/api/maker',
    headers:{cookie:'ttttt',withCredentials:true},
    withCredentials:true
        })
  .then(e=>{
    console.log(e.data)
   )
  })
},[])
```
サーバサイドで通信した場合(headerのcookieは送れているパターン)
```
    export const getServerSideProps = async (
      context: GetServerSidePropsContext,
    ) => {
          const create:AxiosInstance = axios.create({
            baseURL: 'http://localhost:3000',
            headers:{cookie:'ttttt',withCredentials:true},
            method:'POST',
            withCredentials:true
          })

      const res=await create({
        url:'/api/maker',
        withCredentials:true
      }).then((e)=>e)
     
      return {props:res.data}
    }
```
### 試したこと
フロントとサーバー側の両方で通信をすること
header内・外にwithCredentials:trueを記載すること
axios.defaults.withCredentials=trueで設定をすること

そもそもローカルホストだとcookieが使えないのでしょうか？


ご回答よろしくお願い致します


Axiosでcookieを送りたい

PHPで開発しています。
**session.gc_maxlifetime**と**session_cache_expire()**の違いとは何でしょうか。

たとえば15分間動作がない場合（開いてから15分ではなく）ユーザーセッションを無効にしたいのですが、どちらをしようするのが適切でしょうか。

ユーザーのクッキーを一定時間が過ぎたら無効にする**session_set_cookie_params()**は知っています。
ですが、クッキーの使用期限とサーバー側の実際のセッションの使用期限が一致しません。
この場合、クッキーが期限切れになったらセッションも消去されるのですか？

自分で思いついたもうひとつの解決法は、全てのリクエストに**$_SESSION['last_time'] = time()**をつけ、実際の時間と比較しそれに沿ってセッションを消去していくというものです。
できればこのようなことができるより自動的なメカニズムがあればと思っています。
アドバイスよろしくお願いします。

PHP　セッションタイムアウトへのベストな対応とは？

投稿フォームなどの古典的パターンとして
> ・入力画面
・確認画面
・完了画面

の3つの画面を作り、
> ・入力画面 → 投稿フォーム
・確認画面 → POST or GET でフォーム内容を受取。$_SESSION へ保存
・完了画面 → フォーム内容を $_SESSION で受取

というモノがあると思いますが、完了画面への情報伝達に、$_SESSION を使用するのは、セキュリティ的な意味があるのでしょうか？

投稿内容であれば、ユーザの参照・改竄を気にする必要性を感じないため、hidden で良い気がします。

今時3画面使って投稿なんてしないよ！ってそもそも論もありそうですが、ご教示いただけると幸いです。