通用配置
本节包含适用于所有或大多数 Spring Session 模块的通用配置。它包含以下用例的配置示例
-
我需要 自定义会话 cookie 属性
-
我想 为 并发会话控制 提供
ReactiveSessionRepository的 Spring Session 实现
更改 Session ID 的生成方式
默认情况下,Spring Session 使用 UuidSessionIdGenerator,它反过来使用 java.util.UUID 生成会话 ID。在某些情况下,最好包含其他字符以增加熵,或者您可能希望使用不同的算法来生成会话 ID。要更改此设置,您可以提供一个自定义的 SessionIdGenerator bean
-
Java
@Bean
public SessionIdGenerator sessionIdGenerator() {
return new MySessionIdGenerator();
}
class MySessionIdGenerator implements SessionIdGenerator {
@Override
public String generate() {
// ...
}
}公开您的 SessionIdGenerator bean 后,Spring Session 将使用它来生成会话 ID。
如果您手动配置 SessionRepository bean(而不是使用 @EnableRedisHttpSession,例如),您可以在 SessionRepository 实现上直接设置 SessionIdGenerator
SessionIdGenerator 设置到 SessionRepository 实现中-
Java
@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
repository.setSessionIdGenerator(new MySessionIdGenerator());
return repository;
}自定义会话 Cookie
设置好 Spring Session 后,您可以通过将 CookieSerializer 作为 Spring Bean 来自定义会话 Cookie 的写入方式。Spring Session 自带 DefaultCookieSerializer。将 DefaultCookieSerializer 作为 Spring Bean 会在您使用 @EnableRedisHttpSession 等配置时增强现有配置。以下示例展示了如何自定义 Spring Session 的 Cookie
@Bean
public CookieSerializer cookieSerializer() {
DefaultCookieSerializer serializer = new DefaultCookieSerializer();
serializer.setCookieName("JSESSIONID"); (1)
serializer.setCookiePath("/"); (2)
serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
return serializer;
}| 1 | 我们将 Cookie 的名称自定义为 JSESSIONID。 |
| 2 | 我们将 Cookie 的路径自定义为 /(而不是默认的上下文根路径)。 |
| 3 | 我们将域名模式(正则表达式)自定义为 ^.?\\.(\\w\\.[a-z]+)$。这允许跨域和应用程序共享会话。如果正则表达式不匹配,则不设置任何域,并使用现有域。如果正则表达式匹配,则使用第一个 分组 作为域。这意味着对 child.example.com 的请求会将域设置为 example.com。但是,对 localhost:8080/ 或 192.168.1.100:8080/ 的请求不会设置 Cookie,因此在开发中仍然可以使用,无需对生产环境进行任何更改。 |
| 您应该只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户执行诸如 HTTP 响应拆分 之类的攻击。 |
配置选项
以下配置选项可用
-
cookieName: 要使用的 Cookie 的名称。默认值:SESSION。 -
useSecureCookie: 指定是否应使用安全 Cookie。默认值:在创建时使用HttpServletRequest.isSecure()的值。 -
cookiePath: Cookie 的路径。默认值:上下文根路径。 -
cookieMaxAge: 指定在创建会话时设置的 Cookie 的最大生存期。默认值:-1,表示在浏览器关闭时应删除 Cookie。 -
jvmRoute: 指定一个后缀附加到会话 ID 并包含在 cookie 中。用于标识哪个 JVM 用于会话亲和性路由。对于某些实现(例如 Redis),此选项不会带来任何性能优势。但是,它可以帮助跟踪特定用户的日志。 -
domainName: 允许指定用于 cookie 的特定域名。此选项易于理解,但在开发和生产环境之间通常需要不同的配置。请参阅domainNamePattern作为替代方案。 -
domainNamePattern: 用于从HttpServletRequest#getServerName()中提取域名的不区分大小写的模式。该模式应提供一个用于提取 cookie 域值的单一分组。如果正则表达式不匹配,则不设置任何域,并使用现有域。如果正则表达式匹配,则第一个 分组 用作域。 -
sameSite:SameSitecookie 指令的值。要禁用SameSitecookie 指令的序列化,可以将此值设置为null。默认值:Lax -
rememberMeRequestAttribute: 指示记住我登录的请求属性名称。如果指定,cookie 将被写入为Integer.MAX_VALUE。
|
如果您使用的是 |
WebFlux 中的自定义 Cookie
您可以通过将 WebSessionIdResolver 作为 Spring bean 公开来自定义在 WebFlux 应用程序中写入会话 cookie 的方式。Spring Session 默认使用 CookieWebSessionIdResolver。以下示例展示了如何自定义 Spring Session 的 cookie
@Bean
public WebSessionIdResolver webSessionIdResolver() {
CookieWebSessionIdResolver resolver = new CookieWebSessionIdResolver();
resolver.setCookieName("JSESSIONID"); (1)
resolver.addCookieInitializer((builder) -> builder.path("/")); (2)
resolver.addCookieInitializer((builder) -> builder.sameSite("Strict")); (3)
return resolver;
}| 1 | 我们将 Cookie 的名称自定义为 JSESSIONID。 |
| 2 | 我们将 Cookie 的路径自定义为 /(而不是默认的上下文根路径)。 |
| 3 | 我们将 SameSite cookie 指令自定义为 Strict。 |
提供 Spring Session 的 ReactiveSessionRegistry 实现
Spring Session 提供与 Spring Security 的集成以支持其反应式并发会话控制。这允许限制单个用户可以同时拥有的活动会话数量,但与默认的 Spring Security 支持不同,这也适用于集群环境。这是通过提供 Spring Security 的 ReactiveSessionRegistry 接口的 SpringSessionBackedReactiveSessionRegistry 实现来完成的。
-
Java
@Bean
public <S extends Session> SpringSessionBackedReactiveSessionRegistry<S> sessionRegistry(
ReactiveSessionRepository<S> sessionRepository,
ReactiveFindByIndexNameSessionRepository<S> indexedSessionRepository) {
return new SpringSessionBackedReactiveSessionRegistry<>(sessionRepository, indexedSessionRepository);
}有关使用 ReactiveSessionRegistry 的更多方法,请参阅 Spring Security 并发会话控制文档。您还可以查看示例应用程序 此处。
