반응형
SMALL
security
-
Spring security - 4. 중복 로그인 로그아웃 시키기Spring Security/security 2023. 11. 17. 15:28
Spring security는 session을 관리 할 수 있어서, 같은 사용자가 들어왔을 때 기존에 로그인한 session 또는 마지막에 로그인한 session을 선택해서 로그아웃을 시킬 수 있다고 한다. * 코드 작성 httpSecurity에 sessionManagement 설정을 넣어주어야 한다. sessionFixation에서 chageSessionId 설정을 하는데, 동일한 아이디로 계속 로그인을 해도 SessionId가 변경이 안된다고 하는 것 같다. SessionId가 변경이 안되고 고정되면 xss공격으로 SessionId를 탈취 할 수 있다고 한다. 그래서 cahgeSessionId설정을 통해 중복 로그인시 SessionId를 변경한다. maximunSessions를 통해 Session의 ..