Spring security에서 Ajax 호출시 세션 체크는 어떻게 하나요?

[Mark]

안녕하세요?

스프링 시큐리티를 사용하는데 아주 기본적인 것만 사용하고 있습니다. 그런데 웹브라우저에서 Ajax를 호출하는 페이지들이 많이 있는데, Ajax 호출의 경우는 어떻게 세션을 체크해서 세션이 아웃된 경우에는 로그인 페이지를 리다이렉트하거나 적절한 메세지를 리턴하고 싶은데 어떻게 처리하는 것이 좋을까요? 구글 찾아보면 방법들이 이것 저것 좀 많은 것 같은데, 스프링의 의도에 맞는 적절한 방법을 알고 싶습니다. 감사합니다.

[김성국]

springsprout 소스쪽을 참조해보시면... AjaxTimeoutFilter 인가 하는 클래스가 있습니다.

https://github.com/spring-sprout/springsprout/blob/master/src/springsprout/common/web/filter/AjaxSessionTimeoutFilter.java

SpringSecurityFilter 단의 마지막에 등록해서 예외가 발생했을 때 응답을 제어하는 방법입니다.

AccessDeniedException을 잡아내서 인증 토큰이 AnonymousAuthenticationToken일 경우 

HttpServletResponse.SC_UNAUTHORIZED(401)

아닌경우 HttpServletResponse.SC_FORBIDDEN(403) 으로 반환시키는 방법을 저는 쓰고 있습니다.

서버와 ajax통신을 처리하는 공통 모듈에서 예외가 발생했을 때 해당 상태코드에 따라 로그인을 띄우던가, 권한 부족 안내 메시지를 표시하면 되겠죠...

springsprout쪽 소스를 잘 살펴보시면, 많은 사람들이 동일한 문제로 고민한 흔적이 보입니다.

그대로 돌아가고 있는 소스이기도 하구요.. 많은 참고가 됩니다. ^^

2014년 4월 1일 오전 9:42, Mark <mark.sun...@gmail.com>님이 작성:

안녕하세요?

스프링 시큐리티를 사용하는데 아주 기본적인 것만 사용하고 있습니다. 그런데 웹브라우저에서 Ajax를 호출하는 페이지들이 많이 있는데, Ajax 호출의 경우는 어떻게 세션을 체크해서 세션이 아웃된 경우에는 로그인 페이지를 리다이렉트하거나 적절한 메세지를 리턴하고 싶은데 어떻게 처리하는 것이 좋을까요? 구글 찾아보면 방법들이 이것 저것 좀 많은 것 같은데, 스프링의 의도에 맞는 적절한 방법을 알고 싶습니다. 감사합니다.

--
이 메일은 Google 그룹스 'Korea Spring User Group Q&A' 그룹에 가입한 분들에게 전송되는 메시지입니다.
이 그룹에서 탈퇴하고 더 이상 이메일을 받지 않으려면 ksug+uns...@googlegroups.com에 이메일을 보내세요.
http://groups.google.com/group/ksug에서 이 그룹을 방문하세요.
웹에서 이 토론을 보려면 https://groups.google.com/d/msgid/ksug/da1c3f26-5cbf-49ff-afcb-f15321b12796%40googlegroups.com을(를) 방문하세요.
더 많은 옵션을 보려면 https://groups.google.com/d/optout을(를) 방문하세요.

--
-----------------------------------
sungko...@gmail.com
010-3339-1286
김 성국
-----------------------------------

[namkyu Lee]

아래 URL도 참고하시면 좋을 듯 싶습니다. (client 코드도 포함되어 있습니다.)

http://lng1982.tistory.com/170

2014년 4월 1일 오후 4:58, 김성국 <sungko...@gmail.com>님이 작성:

웹에서 이 토론을 보려면 https://groups.google.com/d/msgid/ksug/CAN9CyYBd-0CJbuzeJqNwzCzm-AE5Dv8FQh7hxBHe_3tmWX-PaQ%40mail.gmail.com을(를) 방문하세요.

[임현성]

기본적으로 ajax polling을 이용해서 check해야 하는것으로 판단하고 있습니다.

secuity filter중에 SessionManagementFilter 라는 놈이 있습니다.

그 filter에 InvalidSessionStrategy 라는것으로 request가 들어올경우 session filter에서 check해서 handler로 보내버리는 전략입니다. 

위의 namkyu님이 제안하는 방식과 유사합니다만, session listener등을 통해서 비동기 이벤트를 보내버리는 방식도 있습니다만.(생각만 하고 구현은..쿨럭;;)

EXCEPTION_TRANSLATION_FILTER 에서 구현하는것도 고민을 해봤지만; session filter,가 있으니까가 기본전제여서 __);;

ajax 이니 respnse code를 custom한 값으로 임의로 만들어서 ajax error에서 handling하는 방식은 동일합니다. 

아래와 같이 js에서 statusCode에 대한 session timeout handler method또는 class에서 처리하도록 하였습니다. 

$.ajaxSetup({

statusCode: 

{

901: sessionTimeOutModal

}

});

public class CustomInvalidSessionStrategy implements InvalidSessionStrategy {

private Logger logger = LoggerFactory.getLogger(getClass());

private RequestMatcher requestMatcher = new ELRequestMatcher("hasHeader('X-Requested-With','XMLHttpRequest')");

@Override

public void onInvalidSessionDetected(HttpServletRequest request,

HttpServletResponse response) throws IOException, ServletException {

// TODO Auto-generated method stub

boolean ajaxRedirect = requestMatcher.matches(request);

if(ajaxRedirect) {

logger.debug("Session expired due to ajax request, starting a new session and redirect to requested status '{}'", 901);

response.setContentType(MediaType.APPLICATION_JSON_VALUE);

response.sendError(901, "SESSION_TIMED_OUT");

} else {

String requestURI = getRequestUrl(request);

logger.debug("Session expired due to non-ajax request, starting a new session and redirect to requested url '{}'", requestURI);

request.getSession(true);

response.sendRedirect(requestURI);

}

}

private String getRequestUrl(HttpServletRequest request) {

        StringBuffer requestURL = request.getRequestURL();

 

        String queryString = request.getQueryString();

        if (StringUtils.hasText(queryString)) {

            requestURL.append("?").append(queryString);

        }

 

        return requestURL.toString();

    }

}

웹에서 이 토론을 보려면 https://groups.google.com/d/msgid/ksug/CAATmm-497VCqUOp0CKSK1Yt4gyWBVV_Zan%2Bu4rFyjzJFcfy7AQ%40mail.gmail.com을(를) 방문하세요.

[Mark Sunghun Park]

답변 감사합니다. 많은 도움이 되었습니다.

웹에서 이 토론을 보려면 https://groups.google.com/d/msgid/ksug/CAHo3_-3-a-YCWUCErd0u%2B5QQZ3uOZe3b3MGS-r5%3DN%2BZH2a24Pg%40mail.gmail.com을(를) 방문하세요.

[Mark Sunghun Park]

네.  알겠습니다. 잘 참고하겠습니다.

웹에서 이 토론을 보려면 https://groups.google.com/d/msgid/ksug/CAN9CyYBd-0CJbuzeJqNwzCzm-AE5Dv8FQh7hxBHe_3tmWX-PaQ%40mail.gmail.com을(를) 방문하세요.