Spring Session 和 Spring Security 与 Hazelcast
本指南介绍了在使用 Hazelcast 作为数据存储时如何将 Spring Session 与 Spring Security 一起使用。它假设您已将 Spring Security 应用于您的应用程序。
| 您可以在 Hazelcast Spring Security 示例应用程序 中找到完整的指南。 |
更新依赖项
在使用 Spring Session 之前,您需要更新您的依赖项。如果您使用 Maven,则需要添加以下依赖项。
<dependencies>
<!-- ... -->
<dependency>
<groupId>com.hazelcast</groupId>
<artifactId>hazelcast</artifactId>
<version>5.4.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.7</version>
</dependency>
</dependencies>Spring 配置
添加完必要的依赖项后,我们可以创建 Spring 配置。Spring 配置负责创建一个 servlet 过滤器,该过滤器将 HttpSession 实现替换为由 Spring Session 支持的实现。为此,请添加以下 Spring 配置。
@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {
@Bean
public HazelcastInstance hazelcastInstance() {
Config config = new Config();
AttributeConfig attributeConfig = new AttributeConfig()
.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
.setExtractorClassName(PrincipalNameExtractor.class.getName());
config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
.addAttributeConfig(attributeConfig)
.addIndexConfig(
new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
SerializerConfig serializerConfig = new SerializerConfig();
serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
return Hazelcast.newHazelcastInstance(config); (4)
}
}| 1 | @EnableHazelcastHttpSession 注解创建一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现 Filter。该过滤器负责将 HttpSession 实现替换为由 Spring Session 支持的实现。在本例中,Spring Session 由 Hazelcast 支持。 |
| 2 | 为了支持通过主体名称索引检索会话,需要注册适当的 ValueExtractor。Spring Session 提供了 PrincipalNameExtractor 用于此目的。 |
| 3 | 为了有效地序列化 MapSession 对象,需要注册 HazelcastSessionSerializer。如果未设置此项,Hazelcast 将使用本机 Java 序列化来序列化会话。 |
| 4 | 我们创建一个 HazelcastInstance,将 Spring Session 连接到 Hazelcast。默认情况下,应用程序启动并连接到 Hazelcast 的嵌入式实例。有关配置 Hazelcast 的更多信息,请参阅 参考文档。 |
如果首选 HazelcastSessionSerializer,则需要在所有 Hazelcast 集群成员启动之前为其配置。在 Hazelcast 集群中,所有成员应使用相同的会话序列化方法。此外,如果使用 Hazelcast 客户端/服务器拓扑,则成员和客户端都必须使用相同的序列化方法。可以通过 ClientConfig 使用与成员相同的 SerializerConfiguration 来注册序列化器。
|
Servlet 容器初始化
我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现 Filter。springSessionRepositoryFilter bean 负责将 HttpSession 替换为由 Spring Session 支持的自定义实现。
为了使我们的 Filter 发挥作用,Spring 需要加载我们的 SessionConfig 类。由于我们的应用程序已经通过使用 SecurityInitializer 类来加载 Spring 配置,因此我们可以将 SessionConfig 类添加到其中。以下列表显示了如何执行此操作。
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, SessionConfig.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)为每个请求使用我们的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 在 Spring Security 的 springSecurityFilterChain 之前调用至关重要。这样做可以确保 Spring Security 使用的 HttpSession 由 Spring Session 支持。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的实用程序类,这使得这样做变得容易。以下示例展示了如何做到这一点
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}
我们类的名称(Initializer)并不重要。重要的是我们扩展 AbstractHttpSessionApplicationInitializer。
|
通过扩展 AbstractHttpSessionApplicationInitializer,我们确保名为 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前为每个请求注册到我们的 servlet 容器。
Hazelcast Spring Security 示例应用程序
本节介绍如何使用 Hazelcast Spring Security 示例应用程序。
运行示例应用程序
您可以通过获取 源代码 并执行以下命令来运行示例
$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
| 默认情况下,Hazelcast 以嵌入模式与您的应用程序一起运行。但是,如果您想连接到独立实例,则可以通过按照 参考文档 中的说明进行配置。 |
您现在应该能够在 localhost:8080/ 访问该应用程序
探索安全示例应用程序
您现在可以尝试使用该应用程序。为此,请输入以下内容以登录
-
用户名 user
-
密码 password
现在点击登录按钮。您现在应该看到一条消息,表明您已使用之前输入的用户登录。用户信息存储在 Hazelcast 中,而不是 Tomcat 的 HttpSession 实现中。
它是如何工作的?
我们没有使用 Tomcat 的 HttpSession,而是将值持久化到 Hazelcast 中。Spring Session 将 HttpSession 替换为由 Hazelcast 中的 Map 支持的实现。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 时,它将被持久化到 Hazelcast 中。
与数据存储交互
使用控制台
例如,要使用管理中心控制台在连接到 Hazelcast 节点后删除会话,请运行以下命令
default> ns spring:session:sessions spring:session:sessions> m.clear
| Hazelcast 文档包含有关 控制台 的说明。 |
或者,您也可以删除显式键。将以下内容输入控制台,确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您的 SESSION cookie 的值
spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在访问 localhost:8080/ 上的应用程序,您会发现我们不再经过身份验证。
使用 REST API
如涵盖其他客户端的文档部分所述,Hazelcast 节点提供了一个 REST API。
例如,您可以按如下方式删除单个键(确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您的 SESSION cookie 的值)
$ curl -v -X DELETE https://127.0.0.1:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 节点的端口号在启动时打印到控制台。将 xxxxx 替换为端口号。
|
现在您可以看到,您不再使用此会话进行身份验证。
