常见配置

本节包含适用于所有或大多数 Spring Session 模块的常见配置。它包含以下用例的配置示例

更改 Session ID 的生成方式

默认情况下,Spring Session 使用 `UuidSessionIdGenerator`,它反过来使用 `java.util.UUID` 来生成会话 ID。在某些场景下,最好包含其他字符以增加熵,或者您可能希望使用不同的算法来生成会话 ID。要更改此设置,您可以提供一个自定义的 `SessionIdGenerator` bean

更改 Session ID 的生成方式
  • Java

@Bean
public SessionIdGenerator sessionIdGenerator() {
    return new MySessionIdGenerator();
}

class MySessionIdGenerator implements SessionIdGenerator {

    @Override
    public String generate() {
        // ...
    }

}

暴露 `SessionIdGenerator` bean 后,Spring Session 将使用它来生成会话 ID。

如果您手动配置 `SessionRepository` bean (例如,而不是使用 `@EnableRedisHttpSession`),您可以直接在 `SessionRepository` 实现上设置 `SessionIdGenerator`

直接在 SessionRepository 实现中设置 SessionIdGenerator
  • Java

@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
    RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
    repository.setSessionIdGenerator(new MySessionIdGenerator());
    return repository;
}

设置 Spring Session 后,您可以通过暴露 `CookieSerializer` 作为 Spring bean 来自定义会话 Cookie 的写入方式。Spring Session 附带 `DefaultCookieSerializer`。当您使用 `@EnableRedisHttpSession` 等配置时,将 `DefaultCookieSerializer` 暴露为 Spring bean 会增强现有配置。以下示例展示了如何自定义 Spring Session 的 Cookie

	@Bean
	public CookieSerializer cookieSerializer() {
		DefaultCookieSerializer serializer = new DefaultCookieSerializer();
		serializer.setCookieName("JSESSIONID"); (1)
		serializer.setCookiePath("/"); (2)
		serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
		return serializer;
	}
1 我们将 Cookie 的名称自定义为 `JSESSIONID`。
2 我们将 Cookie 的路径自定义为 `/` (而不是默认的上下文根路径)。
3 我们将域名模式 (一个正则表达式) 自定义为 `^.?\\.(\\w\\.[a-z]+)$`。这允许在不同域和应用程序之间共享会话。如果正则表达式不匹配,则不设置域,并使用现有域。如果正则表达式匹配,则第一个分组用作域。这意味着对 `child.example.com` 的请求将域设置为 `example.com`。然而,对localhost:8080/192.168.1.100:8080/的请求会保留 Cookie 未设置,因此在开发环境中仍然有效,无需对生产环境进行任何更改。
您应该只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户执行诸如HTTP Response Splitting之类的攻击。

以下配置选项可用

  • `cookieName`: 要使用的 Cookie 名称。默认值: `SESSION`。

  • `useSecureCookie`: 指定是否应使用安全 Cookie。默认值: 创建时使用 `HttpServletRequest.isSecure()` 的值。

  • `cookiePath`: Cookie 的路径。默认值: 上下文根路径。

  • `cookieMaxAge`: 指定会话创建时要设置的 Cookie 的最大存活时间。默认值: `-1`,表示浏览器关闭时应移除 Cookie。

  • `jvmRoute`: 指定要附加到会话 ID 并包含在 Cookie 中的后缀。用于识别要路由到哪个 JVM 以实现会话粘性。对于某些实现 (即 Redis),此选项不提供性能优势。但是,它可以帮助跟踪特定用户的日志。

  • `domainName`: 允许指定用于 Cookie 的特定域名。此选项易于理解,但通常需要在开发和生产环境之间进行不同的配置。请参阅 `domainNamePattern` 作为替代方案。

  • `domainNamePattern`: 用于从 `HttpServletRequest#getServerName()` 中提取域名的不区分大小写的模式。该模式应提供一个单独的分组,用于提取 Cookie 域的值。如果正则表达式不匹配,则不设置域,并使用现有域。如果正则表达式匹配,则第一个分组用作域。

  • `sameSite`: `SameSite` Cookie 指令的值。要禁用 `SameSite` Cookie 指令的序列化,您可以将此值设置为 `null`。默认值: `Lax`

  • `rememberMeRequestAttribute`: 指示“记住我”登录的请求属性名称。如果指定,Cookie 将被写入 `Integer.MAX_VALUE`。

如果您正在使用 `SpringSessionRememberMeServices` 并且声明了一个自定义的 `DefaultCookieSerializer` bean,您应该设置 `rememberMeRequestAttribute` 字段以确保 Spring Session 依赖于会话过期而不是 Cookie 过期。为此,您可以使用以下代码片段:`defaultCookieSerializer.setRememberMeRequestAttribute(SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);`

您可以通过暴露 `WebSessionIdResolver` 作为 Spring bean 来在 WebFlux 应用程序中自定义会话 Cookie 的写入方式。Spring Session 默认使用 `CookieWebSessionIdResolver`。以下示例展示了如何自定义 Spring Session 的 Cookie

	@Bean
	public WebSessionIdResolver webSessionIdResolver() {
		CookieWebSessionIdResolver resolver = new CookieWebSessionIdResolver();
		resolver.setCookieName("JSESSIONID"); (1)
		resolver.addCookieInitializer((builder) -> builder.path("/")); (2)
		resolver.addCookieInitializer((builder) -> builder.sameSite("Strict")); (3)
		return resolver;
	}
1 我们将 Cookie 的名称自定义为 `JSESSIONID`。
2 我们将 Cookie 的路径自定义为 `/` (而不是默认的上下文根路径)。
3 我们将 `SameSite` Cookie 指令自定义为 `Strict`。

提供 ReactiveSessionRegistry 的 Spring Session 实现

Spring Session 提供与 Spring Security 的集成,以支持其响应式并发会话控制。这允许限制单个用户可以并发拥有的活动会话数量,而且与默认的 Spring Security 支持不同,这也适用于集群环境。这是通过提供 Spring Security 的 `ReactiveSessionRegistry` 接口的 `SpringSessionBackedReactiveSessionRegistry` 实现来完成的。

将 SpringSessionBackedReactiveSessionRegistry 定义为 bean
  • Java

@Bean
public <S extends Session> SpringSessionBackedReactiveSessionRegistry<S> sessionRegistry(
        ReactiveSessionRepository<S> sessionRepository,
        ReactiveFindByIndexNameSessionRepository<S> indexedSessionRepository) {
    return new SpringSessionBackedReactiveSessionRegistry<>(sessionRepository, indexedSessionRepository);
}

请参阅Spring Security 并发会话控制文档以了解使用 `ReactiveSessionRegistry` 的更多方法。您也可以在此处查看示例应用程序。