常連

### 実現したいこと

Gmailのように、複数アカウントを持っていて、
アカウントAでログインした後に、画面右上のアカウント選択で別のアカウント（アカウントB）を選択すると別タブでアカウントBのGmail画面が表示され、本タブでログインしたアカウントAと別タブでログインしたアカウントB、
両方とも操作できるようになると思います。

このようなセッション管理の仕組みが知りたいです。技術的にどのような知識が必要でしょうか？

想定しているWEBアプリケーションの構成は、
javascriptのFWはvue.jsでSPA。
サーバサイドはサーバレス（AWS Lambda Java）のインフラアーキテクチャとなります。

ざっくりとした質問で恐縮ですが、詳しい方、ご教示頂けますと幸いです。
何卒宜しくお願致します。

同ブラウザ、別タブでそれぞれセッション管理がしたい

### 前提・実現したいこと

ASP.NET MVC5を使用してWebシステムを作成しています。質問はセッションタイムアウトの処理方法です。
セッション管理はInProcモードです。
セッションタイムアウトはデフォルトの20分です。
セッションタイムアウトのチェックはアクションフィルター(OnActionExecuting)を使用しています。アクションフィルターは、セッションタイムアウトが発生すると、強制的にセッションタイムアウト画面に遷移します。このため、セッションタイムアウトが発生すると、URLに示すControllerのアクションメソッドには制御は移りません。

### 発生している問題・エラーメッセージ
月に一回程度の頻度で、URLに示すControllerのアクションメソッドで、Sessionオブジェクトが未定義のNull参照エラーが発生しています。
Sessionオブジェクトはログイン成功時に必ず設定しているため、このオブジェクトがNullになるのはセッションタイムアウト時のみです。
　
エラーメッセージ
　Object reference not set to an instance of an object.

### 該当のソースコード
アクションフィルタのコードです。

```    public class SessionExpireFilterAttribute :ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            base.OnActionExecuting(filterContext);

            HttpContext context = HttpContext.Current;

            // セッション管理は有効か？
            if (context.Session != null)
            {
                // 新しいセッションIdが生成されたか？
                if (context.Session.IsNewSession)
                {
                    // 新しいクッキーが存在するなら、セッションタイムアウトと見なす
                    string sessionCookie = context.Request.Headers["Cookie"];
                    if ((null != sessionCookie) && (sessionCookie.IndexOf("ASP.NET_SessionId") >= 0))
                    {
                        // セッションタイムアウト画面へリダイレクトする
                        filterContext.Result=new RedirectResult("~/Account/SessionTimeOut");
                    }
                }
            }
            
        }
    }
```
###　エラーが発生したコード

```
        public ActionResult RegisterCommon(DateTime displayDay)
        {

            // 担当を自由に変更できる期間は2週間前まで
            var timeLimitDay = displayDay.AddDays(-14);
            // 本日
            var today = DateTime.Now.ToUniversalTime().AddHours(9).Date;
            // ユーザのIDを読み取る
            var membershipId = (string)Session["MEMBERSHIP_ID"];
            // 代行処理の場合、代行される人のIDを設定
            if ((String)Session["SUBSTITUTED_ID"] != null)
            {
                membershipId = (string)Session["SUBSTITUTED_ID"];
            }
            // 事務局か？
            var isAdministrator = false;
            if ((bool)Session["ADMINISTRATOR"])   <<<--ここで例外が発生
                isAdministrator = true;

            // 指定日の担当登録を全て読み取る
            var tantoItemsInDay = new List<Tanto>();
            tantoItemsInDay = db.TantoTbl
               .Where(item => item.Date == displayDay)
               .ToList();
 
            ・・・・・・・

            return View("Register", model);
        }

```


### 試したこと

エラーが発生しているControllerアクションメソッドでセッションタイムアウトを発生させて確認しましたが、正しくセッションタイムアウトを認識し、Null参照エラーは発生しません。
疑わしいのは、セッションタイムアウト判定アルゴリズムと睨んでいるのですが、ASP.NETにおけるセッションタイムアウト処理の情報が少なく、悩んでいます。
なお、使用しているセッションタイムアウト判定アルゴリズムは[stackOverflowに掲載されていたコード](https://stackoverflow.com/questions/42150933/asp-net-sessionid-cookie-behavior-explanation)を使っています。

### 補足情報（FW/ツールのバージョンなど）

ここにより詳細な情報を記載してください。

セッションタイムアウトの処理方法

**セッションの有効期限を例えば3日後ぐらいに設定したら、クッキーの有効期限にも反映されるのでしょうか？**
・逆に、クッキーの有効期限を設定しても、セッションの有効期限には反映されない？

**「セッションの有効期限」と「クッキーの有効期限」は連動しているのでしょうか？**

セッションの有効期限を設定したら、クッキーの有効期限にも反映される？

## 前提
Javaの学習のため、Spring Bootを使用してWebアプリケーションを作成しています。
同一ユーザの多重ログインを禁止したく、webで色々と調べたのですが、上手く出来ず困っています。
※2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態。

## 環境
Java 8
Spring Boot 2.3.0
JPA
H2 Database
Thymeleaf
BootStrap 4.5.0

## 試したこと
まず、WebSecurityConfigurerAdapterを継承したクラスで、
以下のように最大セッション数を1にしました。

```Java
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    (省略)
	@Override
	protected void configure(HttpSecurity http) throws Exception {
        (省略)
		http.sessionManagement().maximumSessions(1);
        (省略)
}
```

その上でセッション作成を検知するために、
AbstractSecurityWebApplicationInitializerを継承したクラスで、
enableHttpSessionEventPublisher()がtrueを返すようにオーバーライドしました。

```Java
package com.example;

import org.springframework.core.annotation.Order;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

@Order(1)
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
	
	public SecurityWebApplicationInitializer() {
		super(SecurityConfig.class);
	}
	
	protected boolean enableHttpSessionEventPublisher() {
		return true;
	}

}
```

## 問題
上記のとおり実装しましたが、
2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態です。
そこで、デバッグしたり、カバレッジを確認したりしたところ、
新規に作成したSecurityWebApplicationInitializerクラスが呼ばれていないことが分かりました。
（正確に書くと実装したコンストラクタやメソッドが呼び出されていない状態）

サーブレット初期化時にAbstractSecurityWebApplicationInitializerを継承したクラスがあれば自動でフックされるという記事があったので、
上記の実装で呼び出されると思っていましたが、そうでもないようです。

何か気づくことがあればアドバイスをお願い致します。

## 追記
問題のプロジェクトとは別に、
多重ログイン禁止処理を確かめるためのプロジェクトを新規に作成して試してみました。

すると、WebSecurityConfigurerAdapterを継承したクラスに、
上記と同様、最大セッション数を1とするコードを書くと2重ログインを禁止出来ました。

そこから少しずつ、問題のプロジェクトに近づけていくと、
ログインに使用しているUSERテーブルのNAMEカラムを外部キーにもつMUTTERテーブルを作成し、
USERテーブルと関連性をもたせたタイミングで2重ログインが禁止できなくなりました。

ここからは予想なのですが、[この記事](https://qiita.com/rubytomato@github/items/a9a19f4a1cd5d732e5f8)によると、
多重ログインチェックを機能させるためには、UserDetailsを実装したクラスの中で、
equalsとhashCodeメソッドのオーバーライドを適切に行うことが必要らしく、
それが出来ていないのではないかと考えています。

その観点から考えたのですが、結局何が問題か分からず、アドバイスをお願い致します。
なお、DB操作にはJPAを利用しています。

[Userエンティティクラス]
```Java
package sample.spring.domain;

import java.io.Serializable;
import java.util.List;

import javax.persistence.CascadeType;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import javax.persistence.OneToMany;
import javax.persistence.Table;

import com.fasterxml.jackson.annotation.JsonIgnore;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

@Entity
@Table(name = "USER")
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(exclude = "mutters")
public class User implements Serializable {
	private static final long serialVersionUID = 1L;

	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	@Column(name = "USER_ID")
	private Integer Id;
	
	@Column(unique = true, nullable = false, name = "NAME", length = 64)
	private String name;

	@Column(nullable = false, name = "PASS", length = 80)
	@JsonIgnore
	private String pass;

	//　以下をコメントアウトすると2重ログインが禁止出来る
	@OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "user")
	private List<Mutter> mutters;

}
```

[UserDetailsを実装したUserクラスを継承したクラス]
```Java
package sample.spring.service;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import sample.spring.domain.User;

import lombok.Data;
import lombok.EqualsAndHashCode;

@Data
@EqualsAndHashCode(callSuper = true)
public class LoginUserDetails extends org.springframework.security.core.userdetails.User {
	private static final long serialVersionUID = 1L;
	private final User user;

	public LoginUserDetails(User user, Collection<GrantedAuthority> authorities) {
		super(user.getName(), user.getPass(), authorities);
		this.user = user;
	}

	/* lombokを使わずに実装してみた
	 * 
	 * public User getUser() {
	 *		return user;
	 *	}
	 * 
	 * @Override
	 * public int hashCode() {
	 * 	return user.getName().hashCode();
	 * }
	 * 
	 * @Override
	 * public boolean equals(Object rhs) { 
	 * 	if (rhs instanceof User) {
	 * 		return user.getName().equals(((LoginUserDetails) rhs).user.getName()); }
	 * 		return false;
	 * }
	 * 
	 * @Override
	 * public String toString(){ 
	 * 	StringBuilder sb = new StringBuilder();
	 * 	sb.append("Username: ").append(this.user.getName()).append("; ");
	 * 	sb.append("Password: [PROTECTED]; ");
	 * 
	 * 	return sb.toString();
	 * }
	 */

}
```

その他のクラスはGitHubにソースを配置したので、
必要であればご確認をお願い致します。
ウェブアプリのユーザ名とパスワードはそれぞれuser1とdemoです。

[https://github.com/uekiGityuto/test-session-control](https://github.com/uekiGityuto/test-session-control)


## 補足
上記で省略していた問題のあるプロジェクトで使用しているSecurityConfigの全量です。

```Java
package com.example;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import com.example.service.CustomAuthenticationFailurehandler;
import com.example.service.LoginUserDetailsService;

//アプリ起動時に読み込まれるコンフィグファイル
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	LoginUserDetailsService userDetailsService;

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	public void configure(WebSecurity web) throws Exception {
		web.ignoring().antMatchers("/webjars/**", "/css/**");
	}

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// ログインページを指定
		// ログインページへのアクセスは全員許可する
		http.formLogin().loginPage("/index").loginProcessingUrl("/authenticate").usernameParameter("name")
				.passwordParameter("pass").defaultSuccessUrl("/main", true)
				// failureHandlerを呼ばない場合は認証エラー時に"/index?error"にリダイレクトする
				.failureHandler(new CustomAuthenticationFailurehandler()).permitAll();

		// ユーザ登録ページへのアクセスは全員許可する。
		// それ以外は認証が必要とする
		// "/management/"以下はROLE_ADMINのユーザのみ認可する
		http.authorizeRequests().antMatchers("/index**").permitAll().antMatchers("/user/registration").permitAll()
				.antMatchers("/user/registerResult").permitAll().antMatchers("/user/gotoTop").permitAll()
				.antMatchers("/management/**").hasRole("ADMIN")// 'ROLE_'はつけない
				.anyRequest().authenticated();

		// ログアウト後に遷移するページを指定
		http.logout().logoutSuccessUrl("/index");

		// 二重ログインを禁止
		http.sessionManagement().maximumSessions(1);
	}

	// パスワードのエンコード方式を指定
	@Bean
	PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}

	// 認証処理（AuthenticationProvider）のカスタマイズ
	@Autowired
	void configureAuthenticationManager(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService)// DaoAuthenticationProviderが使用するUserDetailsServiceを指定
				.passwordEncoder(passwordEncoder());// DaoAuthenticationProviderが使用するPasswordEncoderを指定
	}

}
```

以上、宜しくお願い致します。

spring bootで同一ユーザの多重ログインを禁止したい

Djangoで入力中のフォームから離脱（ページを閉じる等）しても前回の入力を保持するにはセッションを使えば良いのでしょうか？
セッションを使った場合、ページを閉じるだけでなく、スマホやパソコンの電源を落とした場合でも入力値の保持は継続されるのでしょうか？
また、セッション以外に有効な方法がありましたら教えて頂きたいです。
質問ばかりで大変恐縮ですが、よろしくお願いします。

Djangoで入力中のフォームから離脱しても入力値を保持するにはセッション機能を使えば良いのでしょうか？

### 前提
Next.jsでAPI Routerにサーバーを立てそこに向けてaxios通信をしている

headerにcookieという名前で値を付与しているが、そもそもそのやり方が正しいのかわからない
### 実現したいこと
Axiosでcookieを送りたい

ディベロッパーツール→ネットワークのところにcookieのタブを表示させたい
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/fbf36834-b95e-4267-93a0-10e5689d28ce.png)
### 発生している問題・エラーメッセージ
axiosの設定でwithCredentials:trueにしても何も起こらない
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/31df6576-858c-41aa-980c-d7eb93d697a5.png)

フロント側から通信した場合
**Refused to set unsafe header "cookie"**というエラーでheaderに付与したcookieが送れない

サーバーサイドで通信した場合
headerに付与したcookieの値は送れている
### 該当のソースコード

フロント側で通信した場合(headerのcookieは送れない)
```
useEffect(()=>{
  axios.defaults.withCredentials=true
  
  axios({
    method:'POST',
    url:'/api/maker',
    headers:{cookie:'ttttt',withCredentials:true},
    withCredentials:true
        })
  .then(e=>{
    console.log(e.data)
   )
  })
},[])
```
サーバサイドで通信した場合(headerのcookieは送れているパターン)
```
    export const getServerSideProps = async (
      context: GetServerSidePropsContext,
    ) => {
          const create:AxiosInstance = axios.create({
            baseURL: 'http://localhost:3000',
            headers:{cookie:'ttttt',withCredentials:true},
            method:'POST',
            withCredentials:true
          })

      const res=await create({
        url:'/api/maker',
        withCredentials:true
      }).then((e)=>e)
     
      return {props:res.data}
    }
```
### 試したこと
フロントとサーバー側の両方で通信をすること
header内・外にwithCredentials:trueを記載すること
axios.defaults.withCredentials=trueで設定をすること

そもそもローカルホストだとcookieが使えないのでしょうか？


ご回答よろしくお願い致します


Axiosでcookieを送りたい

ユーザーが指定した条件に応じてデータを取得してグラフを描画する機能を実装しています。サーバー側の言語はNode.jsを使っています。

決定ボタンを押すと入力された指定条件をクエリパラメータに変換して画面遷移をするという仕組みになっています。

入力内容を画面遷移後にも保持したいのですが、どのような方法が考えられるでしょうか？
自分で調べてみると入力内容をセッション変数に保存するというものが多く出てきたのですが、フォーム送信の場合を想定したものが多く、自分のケースに当てはまるのかよく分からなかったので質問させていただきました。

```HTML
 <div class="search-box col-md-6">
      <p>[ 条件を指定してデータを取得する ]</p>
      <div class="search-items">
          <div class="radio-inputs">
              <input type="radio" name="gender" value="male" class="gender-inp">
              <label for="inq1">男性</label>
              <input type="radio" name="gender" value="famale" class="gender-inp">
              <label for="inq2">女性</label>
              <input type="radio" name="gender" value="" class="gender-inp">
              <label for="inq3">指定なし</label><br>
          </div>
          <input type="text" name="minAge" class="age-inp"><span>才 〜</span><input type="text" name="maxAge" class="inp age-inp"><span>才</span><br>
          <a class="btn btn-secondary search" id="search">決定</a>
      </div>
 </div>
```

```JavaScript
const searchButton = document.getElementById('search');

searchButton.onclick = () => {
  const inputs = document.querySelectorAll('.age-inp');
  const keyval1 = [...inputs]
    .filter((e) => e.value)
    .map((e) => [e.name, e.value]);

  const radioInputs = document.querySelectorAll('.gender-inp');
  const keyval2 = [...radioInputs]
    .filter((e) => e.checked && e.value)
    .map((e) => [e.name, e.value]);

  const keyval = keyval1.concat(keyval2);

  const searchParams = new URLSearchParams(keyval);
  const href = `?${searchParams.toString()}`;
  searchButton.setAttribute('href', href);
};

```

画面遷移後に値を保持する方法（Node.js）

### 実現したいこと
SSOについて(OpenIDConnectやOAuthなど)前提知識を調べたのち、
AというアプリケーションをLaravelで作成しGoogleのSSO認証を実装しました。
そしてそこからB(GoogleSSO認証がある)アプリケーションのURLに対しリクエストするコードをLaravel内で書き情報を取得しパースしたいです。
その取得した情報をnotion APIを使用しページにまとめたいためです。

BというアプリにはAPIがなく仕方なくこのような方法で実装するしかないと思っています。


### 発生している問題・分からないこと
自分の考えでは、
AというアプリケーションでGoogleの認証を行いcookie(laravel_session,XSRF-TOKEN)で保存されています。
そのためAというアプリケーションで既に認証されているのでBではGoogleの認証は必要ないと思います。

しかし今わからないこととして
Bのアプリケーションにリクエストを投げるときヘッダーにどの情報を付与して投げてあげればBで既に認証ずみのユーザーだなと認識してもらえるのでしょうか？？
検証ツールに書かれているcookieを直接投げてあげればいいのか、
session情報が必要なのか、
アクセストークンを投げてあげれば良いのか。
わからず困っています。



### 該当のソースコード

```Laravel/Controller
仮ですがこんな感じで書いてみました。
そもそも何を使うのかが正解なのかも導き出せていませんが、

<?php

namespace App\Http\Controllers;

use Illuminate\Http\Request;

class Controller extends Controller
{
    public function get()
    {
    

        // URL
        // $url = "https://aaaaaaa";
        
        // クッキーを設定
        $cookies = [
            'laravel_session' => 'abcd123',
            'XSRF-TOKEN' => 'abcd123',
            'remember_web_1234' => 'abcd123',
        ];
        
        // cURLを初期化
        $ch = curl_init();

        // cURLオプションを設定
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

        // クッキーをヘッダーに追加
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Cookie: ' . http_build_query($cookies, '', '; ')
        ]);

        // GETリクエストを送信
        $response = curl_exec($ch);

        // エラーチェック
        if($response === false) {
            echo 'cURL Error: ' . curl_error($ch);
        }
        // cURLセッションを終了
        curl_close($ch);    

        // レスポンスをビューに渡して表示
        return view('view', ['response' => $response]);
    }
}
?>
```

### 試したこと・調べたこと
- [x] teratailやGoogle等で検索した
- [ ] ソースコードを自分なりに変更した
- [ ] 知人に聞いた
- [ ] その他

##### 上記の詳細・結果
認証されログインされないと見れないページのURLを指定してあげてリクエストしているのですが、
You are being redirected
みたいな感じでリダイレクトされてしまうのでユーザーが認識されていない状態です。

### 補足
特になし