Düzeltmeler + Güncel Plan

Muzibu Device Limit Sistemi - v3

Limit = 1 cihaz | Session ömrü ayarlı (auth_session_lifetime) | Tenant: 1001 (muzibu)

Kritik akış düzeltmeleri tamamlandı 22 Aralik 2025 v3 - durum + kalan adımlar

Basit Anlatim (Herkes Icin)

Limit=1 kuralı için ana hatalar düzeltildi: eski oturumlar doğru sayıda siliniyor, atılan cihaz artık stream yapamıyor, oturum süresi tek yerden yönetiliyor. Hâlâ kontrol edilmesi gereken tek şey ayarlardaki değerlerin (auth_device/auth_subscription/device_limit/session_lifetime) panelde doğru girilmiş olması.

• Stream isteği artık cihaz doğrulaması yapıyor; atılan tarayıcı 401 dönüyor.
• Eski oturumlar limit kadar siliniyor; gereksiz toplu silme yok.
• DB + Redis temizlik tek yerde toplandı; hayalet session riski azaltıldı.
• Session ömrü tüm katmanlarda aynı ayardan okunuyor.

Teknik Detaylar (Gelistiriciler Icin)

• DeviceService::registerSession() LIFO silme artık sadece fazla oturum kadar yapıyor; cache reason lifo ile checkSession ile uyumlu.
• SongStreamController::stream() login_token tabanlı sessionExists kontrolü aktif; logout + cookie flush ile 401 dönüyor.
• Ortak atomic helper ile DB + Redis temizliği tek noktaya toplandı; terminateSession/terminateSessions/unregisterSession/enforceDeviceLimit hepsi aynı yolu kullanıyor.
• Session lifetime: TenancyServiceProvider + DeviceService cookie default 525600 dk (auth_session_lifetime), cleanup komutu ile uyumlu.
• Legacy App/Services/Auth/DeviceService.php ve CheckDeviceLimit kaldırıldı; terminate-devices route API tarafına taşındı (web duplikasyonu silindi).

Durum Özeti

ÇözüldüAkış / Limit / Redis

Limit hesaplama sadece fazla oturum kadar siliyor (LIFO, en eski önce).
Kick reason lifo checkSession ile uyumlu; eski lifo_new_device da destekleniyor.
DB+Redis temizlik atomic helper ile birleşti; hayalet session riski azaltıldı.

ÇözüldüStream / Guard

SongStreamController stream() login_token ile sessionExists kontrolü yapıyor; kick edilen cihaz 401 alıyor.
Logout + cookie temizliği ile istemci akışı duruyor, mesaj döndürülüyor.

ÇözüldüTemizlik / Tutarlılık

Redis silme prefix uyumlu (prefix + raw fallback); unregister/terminate tek helper kullanıyor.
Session lifetime tüm katmanlarda auth_session_lifetime (default 525600 dk) ile aynı.
Legacy DeviceService + CheckDeviceLimit kaldırıldı; terminate-devices route duplikasyonu silindi.

KontrolAyarları Doğrulama

shouldRun() icin auth_device ve auth_subscription degerleri panelden dogrulanmali.
auth_device_limit ve auth_session_lifetime kayitlari UI’da dogru gorundugu test edilmeli.

Onceliklendirilmis Is Plani

Limit/LIFO akisini duzelt tamam

registerSession: limit hesaplamasini sadece fazla olan kayitlari silecek sekle getir; cache reason'i lifo olarak kaydet ve checkSession ile uyumlu kil.

Stream API icin cihaz kontrolu tamam

Guard/session mismatch'i coz; stream isteginde login_token dogrulamasi ekle ve SongStreamController cihaz limit kontrolunu yeniden aktive et.

Redis + session temizligi tekles tamam

terminateSession, terminateSessions ve unregisterSession icin ortak atomic helper olustur; Redis key'leri session.prefix ile sil, cache reason'lari uyumlu tut.

Session lifetime'i tek kaynaga bagla tamam

auth_session_lifetime degerini tek noktadan oku (Setting); TenancyServiceProvider, DeviceService cookie, CleanupExpiredSessionsCommand uyumlu olsun.

Legacy kod ve route temizligi tamam

App\\Services\\Auth\\DeviceService ve CheckDeviceLimit'i kaldir; terminate-devices route'larini tek API endpoint'te topla, front JS isteklerini yeni endpoint'e sabitle.

Ayarlari dogrula ve seed et kontrol

tenant 1001 icin auth_device, auth_subscription, auth_device_limit, auth_session_lifetime degerlerini kontrol et; eksikse SettingManagement uzerinden ekle.

Test Plani (limit=1, cihaz=tarayici)

Ayni tarayici yeniden giris dogrulama

Chrome kapanip acilsin, login-token ayni kalsin, DB'de tek kayit olsun, stream calissin.

Farkli tarayici LIFO dogrulama

Chrome aktifken Firefox login olsun, Chrome checkSession 401/redirect alsin, stream 401 donsun.

Livewire session regenerate regresyon

Livewire islemlerinde session_id degisse bile login_token uyumu sayesinde oturum dusmemeli.

Lifetime tutarliligi konfigurasyon

auth_session_lifetime degistirildiginde cookie, Laravel session ve temizleme komutlari ayni sureyi kullanmali.

Race condition dayaniklilik

Ayni anda iki tarayicidan login dene, distributed lock sayesinde DB'de tek satir kalmali, stream sadece aktif tarayicida calismali.

Riskler / Bagimliliklar

Ayar dogrulama

auth_device / auth_subscription / auth_device_limit / auth_session_lifetime degerleri panelden teyit edilmezse sistem bypass edilebilir.

Guard kombinasyonlari

Stream 401 mantigi web + sanctum guard karisiminda test edilmeli; farkli domain/cookie senaryolari sahaya yansitilmali.

Test kapsamı

Tarayıcı kombinasyonları (Chrome/Firefox/Mobil) ve uzun session süresi senaryoları çalıştırılmadan deploy edilmemeli.