online user - woowa-turkey/miniprojects-2019 GitHub Wiki

처음 생각

DB에 로그인 시간과 로그아웃 시간을 저장

로그인 시간이 로그아웃 시간 빠르면 → 로그인

로그인 시간이 로그아웃 시간 늦으면 → 로그아웃

초기 User 생성시에는 시간을 같게 해놓고 시간이 같으면 로그아웃으로 처리

public boolean isLogin() {
    return loginAt.isAfter(logoutAt);
}

문제점 1. 로그아웃을 안하고 브라우저를 종료하거나 다른 페이지로 넘어가는 경우

방법 1. js에 있는 unload 이벤트 활용해서 "다른 페이지로 넘어갈때 로그아웃하시겠습니까?"라는 메세지를 보여주면 되겠다.

window,document,resources가 unload될 때 발생하는 이벤트 순서 : beforeunload → pagehide → unload

beforeunload

이 이벤트가 발생할 당시에는 화면은 여전히 표시되고 취소할 수 있다.

사용방법

// beforeunload event 사용방법
1.
window.addEventListener('beforeunload', function(event) { 
  // 기본은 아래 메서드를 이용해서 확인창을 띄운다.
  event.preventDefault();
  // Chrome 크롬은 returneValue에 값을 넣어줘야 한다. 의미는 없다.
  event.returnValue = '';
  // 일부 브라우저는 string return해야한다.
});

2.
window.onbeforeunload = function(event) { 
  // 기본은 아래 메서드를 이용해서 확인창을 띄운다.
  event.preventDefault();
  // Chrome 크롬은 returneValue에 값을 넣어줘야 한다. 의미는 없다.
  event.returnValue = '';
  // 일부 브라우저는 string return해야한다.
};

단점

IE제외하고는 메시지 커스텀이 불가능
로그아웃이 정장적으로 되었는지 알 수 없다.
새로고침하거나 다른 페이지로 넘어갈 때도 무조건 실행된다.

pagehide

취소가 불가능하다.

사용자에게 뭔가 표시를 해줄 수 없다.(alert, confirm 등 불가능)

firefox제외하고 브라우저 호환성이 완벽하지 않다.

(크롬에서는 뒤로가기 수행시 js를 재실행하고 firefox는 BFCache를 사용해서 저장해 놓은 이전 페이지를 바로 로드하는데 뒤로가기 수행시에도 동작하는 코드를 보통 pageshow, pagehide에 넣는다고 한다.)
- 사용방법
```
window.addEventListener('pagehide', function(event) {
  if (event.persisted) {
    "The page was cached by the browser"
  } else {
    "The page was NOT cached by the browser"
  }
});
```

unload

pagehide와 비슷하다.

취소가 불가능하다.

사용자에게 뭔가 표시를 해줄 수 없다.(alert, confirm 등 불가능)

모든 브라우저에서 잘 호환된다.
- 사용방법
```
window.addEventListener('unload', function(event) {
...
});
```

위 이벤트들의 단점

주소가 바뀌는 경우에 무조건 발생한다. 어떤 주소로 이동될 것인지 알 수 있으면 url을 파싱해서 어떻게든 할 수 있을지 모르지만 이동 될 주소를 알 수 있는 방법은 없는 것 같다.
새로고침 할 때도 발생한다.
사용자에게 원하는 메시지를 표시해 줄 수 없다.

방법 2. session이 종료되면 로그아웃 시간을 갱신하자.

HttpSessionListener를 사용해서 sessionDestroyed될 때 logoutAt 갱신

HttpSessionListener 사용법

리스너 클래스에 @WebListener 붙인다.

@WebListener
public class CustomSessionListener implements HttpSessionListener {

    private static final Logger log = LoggerFactory.getLogger(CustomSessionListener.class);

    @Override
    public void sessionCreated(HttpSessionEvent se) {
        log.info("세션이 연결되었습니다. session ID : {}", se.getSession().getId());
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        log.info("세션이 만료되었습니다. session ID : {}", se.getSession().getId());
    }
}

Application에 @ServletComponentScan 적용

@ServletComponentScan
@SpringBootApplication
public class TurkeyApplication {

Trigger

request.getSession() → sessionCreated

session.invalidate() → sessionDestroyed

문제점 : 브라우저가 종료되거나 다른 사이트로 옮긴다고 해서 세션이 만료되지 않는다.

방법 3. timeout을 되었을 때 로그아웃 시간을 갱신하는 방법을 사용하자 (해결 방법)

2번 방법과 코드는 동일

session timeout → sessionDestroyed 활용

timeout 설정 방법

global session timeout

기본 1800초

60초 단위 내림으로 설정된다.(179 → 120)

60초미만 설정 불가능

30m → 30분

    # application.yml -> global session timeout
    server:
      servlet:
        session:
          timeout: 60

current session timeout

    HttpSession session = request.getSession();
    session.setMaxInactiveInterval(60);

문제점 2. 로그인 중인데 다시 로그인하는 경우 이전 로그인이 timeout되면서 두번째 로그인한 유저가 로그인 상태인데도 로그아웃 될 수 있다.

문제 상황 : login1 → 브라우저 그냥 종료 → login2 → login1 session timeout

해결방법

login2에서 유저가 login상태이면 logoutAt을 갱신하고 login한다.

login1 session timeout일때 logout 상태이면 logoutAt을 갱신하지 않는다.(logout할때 logout 상태이면 logoutAt을 갱신하지 않는다.)

// LoginService
public UserSession login(final LoginRequest loginRequest) {
    try {
        User user = userService.findByEmail(loginRequest.getEmail());
        user.matchPassword(loginRequest.getPassword());
        checkLoginAndUpdateLogoutAt(user);
        user.updateLoginAt(LocalDateTime.now());
        return UserSession.from(user);
    } catch (Exception e) {
        throw new LoginFailException(e.getMessage());
    }
}

public void logout(final Long userId) {
    User user = userService.findById(userId);
    checkLoginAndUpdateLogoutAt(user);
}

private void checkLoginAndUpdateLogoutAt(User user) {
    if (user.isLogin()) {
        user.updateLogoutAt(LocalDateTime.now());
    }
}

문제점 3. 새로고침 안해도 친구가 접속 종료하면 로그 아웃으로 표시 하려면?

websocket을 활용해서 로그인하거나 로그아웃 할 때 친구들에게 메세지를 보내주면 되지않을까?