Spring Security 중복 로그인 방지 설정

WebSecurityConfigurerAdapter를 구현한 Spring Security 설정 파일 내 아래와 같은 코드를 추가한다.

http
    .sessionManagement()
    .maximumSessions(1)
    .maxSessionsPreventsLogin(false)
    .expiredUrl("/login")
    .sessionRegistry(sessionRegistry());

- maximumSessions 최대 유지 가능한 세션 수는 1로 설정

- maxSessionsPreventsLogin 은 중복 로그인이 되었을 때 먼저 로그인한 사용자를 세션 아웃 시키려면 false, 나중에 로그인한 사용자를 튕기려면 true로 설정

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

	(...)
	
    // logout 후 login할 때 정상동작을 위한 세션 레지스트리 설정
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
    	http
    		.sessionManagement()
    		.maximumSessions(1)
    		.maxSessionsPreventsLogin(false)
    		.expiredUrl("/login")
    		.sessionRegistry(sessionRegistry());
    	
        (...)
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // static 디렉터리의 하위 파일 목록은 인증 무시
        web.ignoring().antMatchers("/css/**", "/js/**", "/img/**", "/webfont/**");
    }
}

중요한 점은 UserDetailService를 구현한 서비스 내 인증을 담당할 객체는 equals와 hashcode를 오버라이딩 해주어 계정ID가 같을 경우 같은 객체로 인식되도록 해주어야 한다.

롬복 사용 시 아래와 같은 어노테이션으로 간단하게 설정할 수 있다.

@EqualsAndHashCode(of= {"user"})
public class UserPrincipal implements UserDetails { ... }

크롬에서 테스트 해보려면 시크릿 창을 하나 열고 차례로 로그인해보면 중복 로그인이 안되는 것을 확인할 수 있다.

'개발 > Spring' 카테고리의 다른 글

Spring boot with Swagger 3.0 (0)	2022.11.03
Spring Boot 프로젝트 git 연동 (0)	2022.03.09
Spring Boot에 MySQL / Mybatis 연결하기 (0)	2022.03.09
Spring Boot 프로젝트 생성하기 (0)	2022.03.08
JPA, Hibernate (0)	2022.03.08

history dump 🌈

Spring Security 중복 로그인 방지 설정

'개발 > Spring' 카테고리의 다른 글

댓글

티스토리툴바

Spring Security 중복 로그인 방지 설정

'개발 > Spring' 카테고리의 다른 글

관련글

댓글

티스토리툴바