Spring Session - 按用户名查找

本指南介绍如何使用 Spring Session 按用户名查找会话。

假设

本指南假设你已经通过使用内置的 Redis 配置支持将 Spring Session 添加到你的应用程序中。本指南还假设你已经将 Spring Security 应用到你的应用程序中。但是，本指南具有一定的通用性，只需最少的更改即可应用于任何技术，我们将在本指南后面讨论。

如果你需要学习如何将 Spring Session 添加到你的项目中，请参阅示例和指南列表。

关于示例

我们的示例使用此功能来使可能已被泄露的用户会话失效。考虑以下场景：

用户前往图书馆并向应用程序进行身份验证。
用户回家后，发现忘记注销。
用户可以使用位置、创建时间、上次访问时间等线索登录并结束图书馆的会话。

如果我们能让用户通过他们进行身份验证的任何设备使图书馆的会话失效，那岂不是很好？本示例演示了如何实现这一点。

使用 `FindByIndexNameSessionRepository`

要通过用户名查找用户，你必须首先选择一个实现FindByIndexNameSessionRepository的 SessionRepository。我们的示例应用程序假设 Redis 支持已经设置好，因此我们已准备就绪。

映射用户名

FindByIndexNameSessionRepository 只有在开发人员指示 Spring Session 哪个用户与 Session 关联时，才能通过用户名查找会话。你可以通过确保名为 FindByUsernameSessionRepository.PRINCIPAL_NAME_INDEX_NAME 的会话属性填充了用户名来做到这一点。

一般来说，你可以在用户身份验证后立即使用以下代码来做到这一点：

String username = "username";
this.session.setAttribute(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, username);

使用 Spring Security 映射用户名

由于我们使用 Spring Security，用户名会自动为我们建立索引。这意味着我们无需执行任何步骤来确保用户名已建立索引。

向会话添加额外数据

将额外信息（例如 IP 地址、浏览器、位置和其他详细信息）与会话关联可能会很好。这样做使用户更容易知道他们正在查看哪个会话。

为此，请确定要使用的会话属性以及要提供的信息。然后创建一个作为会话属性添加的 Java Bean。例如，我们的示例应用程序包含会话的位置和访问类型，如以下列表所示：

public class SessionDetails implements Serializable {

	private String location;

	private String accessType;

	public String getLocation() {
		return this.location;
	}

	public void setLocation(String location) {
		this.location = location;
	}

	public String getAccessType() {
		return this.accessType;
	}

	public void setAccessType(String accessType) {
		this.accessType = accessType;
	}

	private static final long serialVersionUID = 8850489178248613501L;

}

然后，我们使用 SessionDetailsFilter 在每个 HTTP 请求上将该信息注入到会话中，如以下示例所示：

@Override
public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
		throws IOException, ServletException {
	chain.doFilter(request, response);

	HttpSession session = request.getSession(false);
	if (session != null) {
		String remoteAddr = getRemoteAddress(request);
		String geoLocation = getGeoLocation(remoteAddr);

		SessionDetails details = new SessionDetails();
		details.setAccessType(request.getHeader("User-Agent"));
		details.setLocation(remoteAddr + " " + geoLocation);

		session.setAttribute("SESSION_DETAILS", details);
	}
}

我们获取所需信息，然后将 SessionDetails 设置为 Session 中的一个属性。当我们通过用户名检索 Session 时，我们可以像访问任何其他会话属性一样使用会话来访问我们的 SessionDetails。

你可能会想为什么 Spring Session 没有开箱即用地提供 SessionDetails 功能。我们有两个原因。第一个原因是应用程序自行实现此功能非常简单。第二个原因是会话中填充的信息（以及这些信息更新的频率）高度依赖于应用程序。

查找特定用户的会话

我们现在可以查找特定用户的所有会话。以下示例演示了如何做到这一点：

@Autowired
FindByIndexNameSessionRepository<? extends Session> sessions;

@RequestMapping("/")
public String index(Principal principal, Model model) {
	Collection<? extends Session> usersSessions = this.sessions.findByPrincipalName(principal.getName()).values();
	model.addAttribute("sessions", usersSessions);
	return "index";
}

在我们的示例中，我们查找当前登录用户的所有会话。但是，你可以修改此功能，以便管理员使用表单指定要查找的用户。

`findbyusername` 示例应用程序

本节介绍如何使用 findbyusername 示例应用程序。

运行 `findbyusername` 示例应用程序

您可以通过获取源代码并调用以下命令来运行示例：

$ ./gradlew :spring-session-sample-boot-findbyusername:bootRun

要使示例正常工作，您必须在本地主机上安装 Redis 2.8+ 并以默认端口（6379）运行它。或者，您可以更新 RedisConnectionFactory 以指向 Redis 服务器。另一种选择是使用 Docker 在本地主机上运行 Redis。有关详细说明，请参阅Docker Redis 存储库。

您现在应该能够通过 localhost:8080/ 访问该应用程序

探索安全示例应用程序

你现在可以尝试使用该应用程序。输入以下内容进行登录：

用户名 user
密码 password

现在点击登录按钮。你现在应该会看到一条消息，指示你已使用之前输入的用户名登录。你还应该看到当前登录用户的所有活动会话列表。

你可以通过执行以下操作来模拟我们在关于示例部分讨论的流程：

打开一个新的无痕窗口并导航到localhost:8080/
输入以下内容进行登录：
- 用户名 user
- 密码 password
结束你的原始会话。
刷新原始窗口，你会看到你已注销。