security: invalidate session immediately when member is removed from household #56

New Issue

Open

opened 2026-04-10 18:24:46 +02:00 by marcel · 0 comments

marcel commented 2026-04-10 18:24:46 +02:00

Owner

Copy Link

Beschreibung

Wenn ein Mitglied aus einem Haushalt entfernt wird, bleibt dessen aktive Session bis zum natürlichen Session-Timeout gültig. Das entfernte Mitglied hat in dieser Zeit noch vollen Zugang zur App.

Problem

DELETE /v1/households/mine/members/{userId} entfernt das Mitglied aus der DB, invalidiert aber nicht die laufende HTTP-Session des betroffenen Users.

Lösung

Spring Security SessionRegistry + SessionInformation.expireNow() verwenden, um die Session des entfernten Mitglieds sofort zu invalidieren:

sessionRegistry.getAllSessions(removedUser, false)
    .forEach(SessionInformation::expireNow);

Voraussetzung: SessionRegistry muss in der SecurityFilterChain registriert sein (sessionManagement().sessionRegistry(...)).

Akzeptanzkriterien

• Nach DELETE /v1/households/mine/members/{userId} wird die aktive Session des entfernten Mitglieds sofort invalidiert
• Der nächste Request des entfernten Mitglieds erhält 401 Unauthorized
• Integrations-Test: Member wird entfernt → Session-Request danach → 401

Kontext

Aufgedeckt in #48 (Sable — Security Review). Wurde bewusst aus dem Members-Ticket herausgezogen, um den Scope nicht zu sprengen.

## Beschreibung Wenn ein Mitglied aus einem Haushalt entfernt wird, bleibt dessen aktive Session bis zum natürlichen Session-Timeout gültig. Das entfernte Mitglied hat in dieser Zeit noch vollen Zugang zur App. ## Problem `DELETE /v1/households/mine/members/{userId}` entfernt das Mitglied aus der DB, invalidiert aber nicht die laufende HTTP-Session des betroffenen Users. ## Lösung Spring Security `SessionRegistry` + `SessionInformation.expireNow()` verwenden, um die Session des entfernten Mitglieds sofort zu invalidieren: ```java sessionRegistry.getAllSessions(removedUser, false) .forEach(SessionInformation::expireNow); ``` Voraussetzung: `SessionRegistry` muss in der `SecurityFilterChain` registriert sein (`sessionManagement().sessionRegistry(...)`). ## Akzeptanzkriterien - [ ] Nach `DELETE /v1/households/mine/members/{userId}` wird die aktive Session des entfernten Mitglieds sofort invalidiert - [ ] Der nächste Request des entfernten Mitglieds erhält `401 Unauthorized` - [ ] Integrations-Test: Member wird entfernt → Session-Request danach → `401` ## Kontext Aufgedeckt in #48 (Sable — Security Review). Wurde bewusst aus dem Members-Ticket herausgezogen, um den Scope nicht zu sprengen.

marcel referenced this issue 2026-04-10 18:26:38 +02:00

feat(members): implement /members page — Kachel-Ansicht (E2) #48

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

master

feat/issue-20-pantry-staples

No results found.

Labels

Clear labels

kind/bug

Something isn't working

kind/chore

Maintenance, dependency updates, tooling

kind/devops

CI/CD, infra, deployment

kind/docs

Documentation additions or updates

kind/feature

New functionality

kind/refactor

Code restructuring without behaviour change

kind/security

Security vulnerability or hardening

kind/test

Adding or fixing tests

kind/ui

User interface or UX change

priority/critical

Drop everything

priority/high

Next up

priority/low

Nice to have

priority/medium

Important but not urgent

status/blocked

Blocked by another issue or external dependency

status/in-progress

Actively being worked on

status/needs-review

Waiting for review or feedback

status/wontfix

Intentionally not being addressed

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

marcel

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: marcel/mealprep#56