Spring Session - MongoDB 仓库
更新依赖项
在使用 Spring Session MongoDB 之前,您必须确保更新您的依赖项。我们假设您正在使用一个正常运行的 Spring Boot Web 应用程序。如果您使用的是 Maven,请确保添加以下依赖项
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-mongodb</artifactId>
</dependency>
</dependencies>Spring 配置
添加所需的依赖项后,我们可以创建 Spring 配置。Spring 配置负责创建一个 Servlet 过滤器,该过滤器将 HttpSession 实现替换为由 Spring Session 支持的实现。
您所要做的就是添加以下 Spring 配置
@Configuration(proxyBeanMethods = false)
@EnableMongoHttpSession (1)
public class HttpSessionConfig {
@Bean
public JdkMongoSessionConverter jdkMongoSessionConverter() {
return new JdkMongoSessionConverter(Duration.ofMinutes(30)); (2)
}
}| 1 | @EnableMongoHttpSession 注解创建了一个名为 springSessionRepositoryFilter 的 Spring Bean,它实现了 Filter。此过滤器将默认的 HttpSession 替换为由 MongoDB 支持的 Bean。 |
| 2 | 将会话超时配置为 30 分钟。 |
配置 MongoDB 连接
Spring Boot 会自动创建一个 MongoClient,将 Spring Session 连接到 localhost 上端口 27017(默认端口)的 MongoDB 服务器。在生产环境中,您需要确保更新您的配置以指向您的 MongoDB 服务器。例如,您可以在 application.properties 中包含以下内容
spring.data.mongodb.host=mongo-srv spring.data.mongodb.port=27018 spring.data.mongodb.database=prod
有关更多信息,请参阅 Spring Boot 文档中连接到 MongoDB 部分。
Servlet 容器初始化
我们的Spring 配置创建了一个名为 springSessionRepositoryFilter 的 Spring Bean,它实现了 Filter。springSessionRepositoryFilter Bean 负责用由 Spring Session 支持的自定义实现替换 HttpSession。
为了让我们的 Filter 发挥作用,Spring 需要加载我们的 Config 类。最后,我们需要确保我们的 Servlet 容器(即 Tomcat)为每个请求使用我们的 springSessionRepositoryFilter。幸运的是,Spring Boot 为我们处理了这两个步骤。
MongoDB 示例应用程序
MongoDB 示例应用程序演示了如何在使用 Spring Boot 时,利用 Spring Session 透明地使用 MongoDB 来支持 Web 应用程序的 HttpSession。
运行 MongoDB 示例应用程序
您可以通过获取源代码并调用以下命令来运行示例:
$ ./gradlew :samples:mongo:bootRun
您现在应该能够通过 localhost:8080/ 访问该应用程序
探索安全示例应用程序
尝试使用该应用程序。输入以下内容登录
-
用户名 user
-
密码 password
现在单击登录按钮。您应该会看到一条消息,指示您已使用之前输入的用户登录。用户的信息存储在 MongoDB 中,而不是 Tomcat 的 HttpSession 实现中。
它是如何工作的?
我们没有使用 Tomcat 的 HttpSession,而是将值持久化到 Mongo 中。Spring Session 将 HttpSession 替换为由 Mongo 支持的实现。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 时,它会持久化到 Mongo 中。
当创建新的 HttpSession 时,Spring Session 会在您的浏览器中创建一个名为 SESSION 的 Cookie,其中包含您会话的 ID。您可以查看 Cookie(点击以获取 Chrome 或 Firefox 的帮助)。
如果您愿意,可以使用 mongo 客户端轻松检查会话。例如,在基于 Linux 的系统上,您可以输入
|
示例应用程序使用一个嵌入式 MongoDB 实例,该实例监听一个随机分配的端口。嵌入式 MongoDB 使用的端口以及连接它的确切命令会在应用程序启动期间记录。 |
$ mongo --port ... > use test > db.sessions.find().pretty()
或者,您也可以删除显式键。在您的终端中输入以下内容,确保将 60f17293-839b-477c-bb92-07a9c3658843 替换为您的 SESSION Cookie 的值
> db.sessions.remove({"_id":"60f17293-839b-477c-bb92-07a9c3658843"})
现在访问应用程序 localhost:8080/,观察我们已不再经过身份验证。
