Spring 중복 로그인 제한 질문 드립니다.

안녕하세요.
Spring 환경에서는 중복로그인 제한을 설정만으로 간단히 처리할 수 있다고 해서 찾아봤는데
web.xml 에 아래와 같은 리스터 등록과
        <listener>
          <listener-class>
            org.springframework.security.web.session.HttpSessionEventPublisher
          </listener-class>
        </listener>

security.xml 설정파일에 아래와 같은 session 설정만 해주면
                <security:session-management invalid-session-url="/login">
                        <security:concurrency-control max-sessions="1" expired-url="/login"/>
                </security:session-management>
중복로그인 요청 시 max-session="1"로 체크되어 있어서 /login 페이지로 자동으로 넘어가도록 된다고 하는데 막상 적용해보니
전혀 적용이 안되있어서 질문드립니다..

현재 로그인은 잘 되고 있으며 로그인으로 인한 아래와 같은 roll 설정도 잘 먹히고 있습니다.
<intercept-url pattern="/appFileDownload" access="permitAll"/>
<intercept-url pattern="/**" access="hasRole('ROLE004')"/>

로그아웃 시 세션 클로즈도 잘 되고 있고요...
session.invalidate();

혹시 관련해서 제가 알아봐야 할 부분이 어느부분이 있는지 알 수 있을가요?

질문 | 1373명이 읽었어요. 3.142.173.72

비공개 손님 … 2015-11-20 19:33:46

리스너 타는지부터좀 알아봐야겠네요

비공개 손님 … 2015-11-20 22:09:48

1//리스너는 디버깅 찍어보면 들어옵니다. 근데 한가지 질문이 있는데요. 제가 로그인을 j_spring_security_check 를 이용해서 하고 있지 않는데 이게 연관이 있을가요? 만약 이거 때문이면 다 바꿔야되는데..

비공개 손님 … 2015-11-21 10:57:11

모르겠어요 전 이제껏 웹서비스.하면서 로그인을 세션으로 구현해본 적은 한번도 없어서요

로그인안 무조건 쿠키로 구현하고, 중복로그인 체크여부는 쿠키 발급시간(및 로그아웃 기록 있기전 크키 재발급 시도) + IP주소 확인 등으로 했었음..

굳이 로그인을 세션으로 유지하는 이유라도 있는지가 더궁금하네요

비공개 손님 … 2015-11-24 14:10:47

3//답변 감사드립니다.
굳이 세션을 사용하는 이유는 쿠키보다 보안이 안전하다고 해서... 쓰고있습니다.
쿠키는 로컬에 저장되니까 client 단에서 임의의 위변조가 가능하니..
그리고 처음 질문내용은 해결되었습니다. 로그인도 j_spring_security_check 로 바꿧네요..

댓글을 작성하실 수 없습니다.
(권한이 없는 회원레벨)

목록으로

TOP arrow_upward