常連

## 前提
Javaの学習のため、Spring Bootを使用してWebアプリケーションを作成しています。
同一ユーザの多重ログインを禁止したく、webで色々と調べたのですが、上手く出来ず困っています。
※2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態。

## 環境
Java 8
Spring Boot 2.3.0
JPA
H2 Database
Thymeleaf
BootStrap 4.5.0

## 試したこと
まず、WebSecurityConfigurerAdapterを継承したクラスで、
以下のように最大セッション数を1にしました。

```Java
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    (省略)
	@Override
	protected void configure(HttpSecurity http) throws Exception {
        (省略)
		http.sessionManagement().maximumSessions(1);
        (省略)
}
```

その上でセッション作成を検知するために、
AbstractSecurityWebApplicationInitializerを継承したクラスで、
enableHttpSessionEventPublisher()がtrueを返すようにオーバーライドしました。

```Java
package com.example;

import org.springframework.core.annotation.Order;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

@Order(1)
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
	
	public SecurityWebApplicationInitializer() {
		super(SecurityConfig.class);
	}
	
	protected boolean enableHttpSessionEventPublisher() {
		return true;
	}

}
```

## 問題
上記のとおり実装しましたが、
2つのブラウザから同一ユーザ名とパスワードでログイン出来てしまう状態です。
そこで、デバッグしたり、カバレッジを確認したりしたところ、
新規に作成したSecurityWebApplicationInitializerクラスが呼ばれていないことが分かりました。
（正確に書くと実装したコンストラクタやメソッドが呼び出されていない状態）

サーブレット初期化時にAbstractSecurityWebApplicationInitializerを継承したクラスがあれば自動でフックされるという記事があったので、
上記の実装で呼び出されると思っていましたが、そうでもないようです。

何か気づくことがあればアドバイスをお願い致します。

## 追記
問題のプロジェクトとは別に、
多重ログイン禁止処理を確かめるためのプロジェクトを新規に作成して試してみました。

すると、WebSecurityConfigurerAdapterを継承したクラスに、
上記と同様、最大セッション数を1とするコードを書くと2重ログインを禁止出来ました。

そこから少しずつ、問題のプロジェクトに近づけていくと、
ログインに使用しているUSERテーブルのNAMEカラムを外部キーにもつMUTTERテーブルを作成し、
USERテーブルと関連性をもたせたタイミングで2重ログインが禁止できなくなりました。

ここからは予想なのですが、[この記事](https://qiita.com/rubytomato@github/items/a9a19f4a1cd5d732e5f8)によると、
多重ログインチェックを機能させるためには、UserDetailsを実装したクラスの中で、
equalsとhashCodeメソッドのオーバーライドを適切に行うことが必要らしく、
それが出来ていないのではないかと考えています。

その観点から考えたのですが、結局何が問題か分からず、アドバイスをお願い致します。
なお、DB操作にはJPAを利用しています。

[Userエンティティクラス]
```Java
package sample.spring.domain;

import java.io.Serializable;
import java.util.List;

import javax.persistence.CascadeType;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import javax.persistence.OneToMany;
import javax.persistence.Table;

import com.fasterxml.jackson.annotation.JsonIgnore;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

@Entity
@Table(name = "USER")
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(exclude = "mutters")
public class User implements Serializable {
	private static final long serialVersionUID = 1L;

	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	@Column(name = "USER_ID")
	private Integer Id;
	
	@Column(unique = true, nullable = false, name = "NAME", length = 64)
	private String name;

	@Column(nullable = false, name = "PASS", length = 80)
	@JsonIgnore
	private String pass;

	//　以下をコメントアウトすると2重ログインが禁止出来る
	@OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "user")
	private List<Mutter> mutters;

}
```

[UserDetailsを実装したUserクラスを継承したクラス]
```Java
package sample.spring.service;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import sample.spring.domain.User;

import lombok.Data;
import lombok.EqualsAndHashCode;

@Data
@EqualsAndHashCode(callSuper = true)
public class LoginUserDetails extends org.springframework.security.core.userdetails.User {
	private static final long serialVersionUID = 1L;
	private final User user;

	public LoginUserDetails(User user, Collection<GrantedAuthority> authorities) {
		super(user.getName(), user.getPass(), authorities);
		this.user = user;
	}

	/* lombokを使わずに実装してみた
	 * 
	 * public User getUser() {
	 *		return user;
	 *	}
	 * 
	 * @Override
	 * public int hashCode() {
	 * 	return user.getName().hashCode();
	 * }
	 * 
	 * @Override
	 * public boolean equals(Object rhs) { 
	 * 	if (rhs instanceof User) {
	 * 		return user.getName().equals(((LoginUserDetails) rhs).user.getName()); }
	 * 		return false;
	 * }
	 * 
	 * @Override
	 * public String toString(){ 
	 * 	StringBuilder sb = new StringBuilder();
	 * 	sb.append("Username: ").append(this.user.getName()).append("; ");
	 * 	sb.append("Password: [PROTECTED]; ");
	 * 
	 * 	return sb.toString();
	 * }
	 */

}
```

その他のクラスはGitHubにソースを配置したので、
必要であればご確認をお願い致します。
ウェブアプリのユーザ名とパスワードはそれぞれuser1とdemoです。

[https://github.com/uekiGityuto/test-session-control](https://github.com/uekiGityuto/test-session-control)


## 補足
上記で省略していた問題のあるプロジェクトで使用しているSecurityConfigの全量です。

```Java
package com.example;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import com.example.service.CustomAuthenticationFailurehandler;
import com.example.service.LoginUserDetailsService;

//アプリ起動時に読み込まれるコンフィグファイル
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	LoginUserDetailsService userDetailsService;

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	public void configure(WebSecurity web) throws Exception {
		web.ignoring().antMatchers("/webjars/**", "/css/**");
	}

	// アクセスフィルター（AuthenticationFilter）のカスタマイズ
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// ログインページを指定
		// ログインページへのアクセスは全員許可する
		http.formLogin().loginPage("/index").loginProcessingUrl("/authenticate").usernameParameter("name")
				.passwordParameter("pass").defaultSuccessUrl("/main", true)
				// failureHandlerを呼ばない場合は認証エラー時に"/index?error"にリダイレクトする
				.failureHandler(new CustomAuthenticationFailurehandler()).permitAll();

		// ユーザ登録ページへのアクセスは全員許可する。
		// それ以外は認証が必要とする
		// "/management/"以下はROLE_ADMINのユーザのみ認可する
		http.authorizeRequests().antMatchers("/index**").permitAll().antMatchers("/user/registration").permitAll()
				.antMatchers("/user/registerResult").permitAll().antMatchers("/user/gotoTop").permitAll()
				.antMatchers("/management/**").hasRole("ADMIN")// 'ROLE_'はつけない
				.anyRequest().authenticated();

		// ログアウト後に遷移するページを指定
		http.logout().logoutSuccessUrl("/index");

		// 二重ログインを禁止
		http.sessionManagement().maximumSessions(1);
	}

	// パスワードのエンコード方式を指定
	@Bean
	PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}

	// 認証処理（AuthenticationProvider）のカスタマイズ
	@Autowired
	void configureAuthenticationManager(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService)// DaoAuthenticationProviderが使用するUserDetailsServiceを指定
				.passwordEncoder(passwordEncoder());// DaoAuthenticationProviderが使用するPasswordEncoderを指定
	}

}
```

以上、宜しくお願い致します。

spring bootで同一ユーザの多重ログインを禁止したい

### 実現したいこと

Gmailのように、複数アカウントを持っていて、
アカウントAでログインした後に、画面右上のアカウント選択で別のアカウント（アカウントB）を選択すると別タブでアカウントBのGmail画面が表示され、本タブでログインしたアカウントAと別タブでログインしたアカウントB、
両方とも操作できるようになると思います。

このようなセッション管理の仕組みが知りたいです。技術的にどのような知識が必要でしょうか？

想定しているWEBアプリケーションの構成は、
javascriptのFWはvue.jsでSPA。
サーバサイドはサーバレス（AWS Lambda Java）のインフラアーキテクチャとなります。

ざっくりとした質問で恐縮ですが、詳しい方、ご教示頂けますと幸いです。
何卒宜しくお願致します。

同ブラウザ、別タブでそれぞれセッション管理がしたい

有識者の皆様

お世話になります。

業務アプリケーションを構築する際、WEBサーバをActive/Activeの負荷分散方式とすると仮定してください。
ここで、WEBサーバへのリクエストについてセッション管理の方法を考えているのですが、いかんせん初心者のため最適な管理方法、およびメリット・デメリットの整理がつかない状況です。まずセッション管理の方法としては、私が思いつくのはわずか2つです。
1.セッション情報をファイルとしてサーバ上にもつ。
→一般的な方式かなと思いましたが、今回のような2機稼働方式では、一方で保存されたセッション情報ファイルをもう一方が参照できないのでは、、、と考えました。私のこの考えは合っていますでしょうか？

2.DBサーバに保存する。
→別途DBサーバに保存することで上記の問題を解決できると考えました。ただDBサーバを使うことによるデメリットってあるのでしょうか？もしくはメリットがありましたら、そちらもご教示願いたいです。

私の知識ではそもそも上記2つ方法しか思いつきませんでしたが、そもそも別の方式もありますでしょうか？
また、セッション管理方法において、上記1.2.のどちらが良い、現在のトレンドである！などあるのでしょうか。

また、DBによる管理を考えた場合、注意すべき点など一般的なWEB開発の観点から考えうることがあればよろしくお願いします。

業務アプリケーション構築におけるセッション情報管理方法について

### 前置き
ブラウザからWebサーバーにアクセスがある時
WebサーバーはセッションIDを発行して、いろいろな情報をそのIDに紐づけて保存すると思います。

具体的に私が想定している環境はLaravelになるのですが、
デフォルトの設定ではセッション毎にファイルが１つ所定のフォルダに保存されます。

ここで、ブラウザからアクセスしている場合、
セッションIDはブラウザ側のcookieに組み込まれるはずなので、
ユーザーが何度アクセスしてもIDは保持されて新しく別IDのファイルが作られることはありません。
**（つまり、無駄なデータは増えない）**

### 問題
しかし、ブラウザでcookieを無効にしている場合や、
ブラウザ以外のコマンドラインからcookieを設定せずにアクセスする場合などでは、
セッションIDが毎回発行されてそのたびにファイルが作られます。

例えばロボットがWebサイトの各ベージをcookieなしで巡回すると、**どんどんセッション情報のファイルが増えてしまいます。**

（なお、ファイルの代わりにデータベースやキャッシュサーバーを利用してセッション情報を保存する方式でも、セッション毎に無駄なデータが増える現象は同じ）

### 皆様に伺いたいこと

不要なデータが増加する点で、上記の問題はあまり望ましい状態ではない気がするのですが、
一般的にはどう対処するもでしょうか？
あるいは、データが増えていくのは仕方ないとするものでしょうか？

もし何かしら知見をお持ちの方がいらっしゃいましたら、教えていただけると助かります。





【Webサーバー PHP Laravel】ブラウザ以外からアクセスがあったときに不要なセッションが作られるときの対処法

### 前提・実現したいこと

ASP.NET MVC5を使用してWebシステムを作成しています。質問はセッションタイムアウトの処理方法です。
セッション管理はInProcモードです。
セッションタイムアウトはデフォルトの20分です。
セッションタイムアウトのチェックはアクションフィルター(OnActionExecuting)を使用しています。アクションフィルターは、セッションタイムアウトが発生すると、強制的にセッションタイムアウト画面に遷移します。このため、セッションタイムアウトが発生すると、URLに示すControllerのアクションメソッドには制御は移りません。

### 発生している問題・エラーメッセージ
月に一回程度の頻度で、URLに示すControllerのアクションメソッドで、Sessionオブジェクトが未定義のNull参照エラーが発生しています。
Sessionオブジェクトはログイン成功時に必ず設定しているため、このオブジェクトがNullになるのはセッションタイムアウト時のみです。
　
エラーメッセージ
　Object reference not set to an instance of an object.

### 該当のソースコード
アクションフィルタのコードです。

```    public class SessionExpireFilterAttribute :ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            base.OnActionExecuting(filterContext);

            HttpContext context = HttpContext.Current;

            // セッション管理は有効か？
            if (context.Session != null)
            {
                // 新しいセッションIdが生成されたか？
                if (context.Session.IsNewSession)
                {
                    // 新しいクッキーが存在するなら、セッションタイムアウトと見なす
                    string sessionCookie = context.Request.Headers["Cookie"];
                    if ((null != sessionCookie) && (sessionCookie.IndexOf("ASP.NET_SessionId") >= 0))
                    {
                        // セッションタイムアウト画面へリダイレクトする
                        filterContext.Result=new RedirectResult("~/Account/SessionTimeOut");
                    }
                }
            }
            
        }
    }
```
###　エラーが発生したコード

```
        public ActionResult RegisterCommon(DateTime displayDay)
        {

            // 担当を自由に変更できる期間は2週間前まで
            var timeLimitDay = displayDay.AddDays(-14);
            // 本日
            var today = DateTime.Now.ToUniversalTime().AddHours(9).Date;
            // ユーザのIDを読み取る
            var membershipId = (string)Session["MEMBERSHIP_ID"];
            // 代行処理の場合、代行される人のIDを設定
            if ((String)Session["SUBSTITUTED_ID"] != null)
            {
                membershipId = (string)Session["SUBSTITUTED_ID"];
            }
            // 事務局か？
            var isAdministrator = false;
            if ((bool)Session["ADMINISTRATOR"])   <<<--ここで例外が発生
                isAdministrator = true;

            // 指定日の担当登録を全て読み取る
            var tantoItemsInDay = new List<Tanto>();
            tantoItemsInDay = db.TantoTbl
               .Where(item => item.Date == displayDay)
               .ToList();
 
            ・・・・・・・

            return View("Register", model);
        }

```


### 試したこと

エラーが発生しているControllerアクションメソッドでセッションタイムアウトを発生させて確認しましたが、正しくセッションタイムアウトを認識し、Null参照エラーは発生しません。
疑わしいのは、セッションタイムアウト判定アルゴリズムと睨んでいるのですが、ASP.NETにおけるセッションタイムアウト処理の情報が少なく、悩んでいます。
なお、使用しているセッションタイムアウト判定アルゴリズムは[stackOverflowに掲載されていたコード](https://stackoverflow.com/questions/42150933/asp-net-sessionid-cookie-behavior-explanation)を使っています。

### 補足情報（FW/ツールのバージョンなど）

ここにより詳細な情報を記載してください。

セッションタイムアウトの処理方法

### 前提
Next.jsでAPI Routerにサーバーを立てそこに向けてaxios通信をしている

headerにcookieという名前で値を付与しているが、そもそもそのやり方が正しいのかわからない
### 実現したいこと
Axiosでcookieを送りたい

ディベロッパーツール→ネットワークのところにcookieのタブを表示させたい
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/fbf36834-b95e-4267-93a0-10e5689d28ce.png)
### 発生している問題・エラーメッセージ
axiosの設定でwithCredentials:trueにしても何も起こらない
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/31df6576-858c-41aa-980c-d7eb93d697a5.png)

フロント側から通信した場合
**Refused to set unsafe header "cookie"**というエラーでheaderに付与したcookieが送れない

サーバーサイドで通信した場合
headerに付与したcookieの値は送れている
### 該当のソースコード

フロント側で通信した場合(headerのcookieは送れない)
```
useEffect(()=>{
  axios.defaults.withCredentials=true
  
  axios({
    method:'POST',
    url:'/api/maker',
    headers:{cookie:'ttttt',withCredentials:true},
    withCredentials:true
        })
  .then(e=>{
    console.log(e.data)
   )
  })
},[])
```
サーバサイドで通信した場合(headerのcookieは送れているパターン)
```
    export const getServerSideProps = async (
      context: GetServerSidePropsContext,
    ) => {
          const create:AxiosInstance = axios.create({
            baseURL: 'http://localhost:3000',
            headers:{cookie:'ttttt',withCredentials:true},
            method:'POST',
            withCredentials:true
          })

      const res=await create({
        url:'/api/maker',
        withCredentials:true
      }).then((e)=>e)
     
      return {props:res.data}
    }
```
### 試したこと
フロントとサーバー側の両方で通信をすること
header内・外にwithCredentials:trueを記載すること
axios.defaults.withCredentials=trueで設定をすること

そもそもローカルホストだとcookieが使えないのでしょうか？


ご回答よろしくお願い致します


Axiosでcookieを送りたい

ユーザーが指定した条件に応じてデータを取得してグラフを描画する機能を実装しています。サーバー側の言語はNode.jsを使っています。

決定ボタンを押すと入力された指定条件をクエリパラメータに変換して画面遷移をするという仕組みになっています。

入力内容を画面遷移後にも保持したいのですが、どのような方法が考えられるでしょうか？
自分で調べてみると入力内容をセッション変数に保存するというものが多く出てきたのですが、フォーム送信の場合を想定したものが多く、自分のケースに当てはまるのかよく分からなかったので質問させていただきました。

```HTML
 <div class="search-box col-md-6">
      <p>[ 条件を指定してデータを取得する ]</p>
      <div class="search-items">
          <div class="radio-inputs">
              <input type="radio" name="gender" value="male" class="gender-inp">
              <label for="inq1">男性</label>
              <input type="radio" name="gender" value="famale" class="gender-inp">
              <label for="inq2">女性</label>
              <input type="radio" name="gender" value="" class="gender-inp">
              <label for="inq3">指定なし</label><br>
          </div>
          <input type="text" name="minAge" class="age-inp"><span>才 〜</span><input type="text" name="maxAge" class="inp age-inp"><span>才</span><br>
          <a class="btn btn-secondary search" id="search">決定</a>
      </div>
 </div>
```

```JavaScript
const searchButton = document.getElementById('search');

searchButton.onclick = () => {
  const inputs = document.querySelectorAll('.age-inp');
  const keyval1 = [...inputs]
    .filter((e) => e.value)
    .map((e) => [e.name, e.value]);

  const radioInputs = document.querySelectorAll('.gender-inp');
  const keyval2 = [...radioInputs]
    .filter((e) => e.checked && e.value)
    .map((e) => [e.name, e.value]);

  const keyval = keyval1.concat(keyval2);

  const searchParams = new URLSearchParams(keyval);
  const href = `?${searchParams.toString()}`;
  searchButton.setAttribute('href', href);
};

```

画面遷移後に値を保持する方法（Node.js）

**セッションの有効期限を例えば3日後ぐらいに設定したら、クッキーの有効期限にも反映されるのでしょうか？**
・逆に、クッキーの有効期限を設定しても、セッションの有効期限には反映されない？

**「セッションの有効期限」と「クッキーの有効期限」は連動しているのでしょうか？**