Spring Session 和 Spring Security 与 Hazelcast 集成
本指南描述了当您使用 Hazelcast 作为数据存储时,如何将 Spring Session 与 Spring Security 一起使用。它假设您已经在应用程序中应用了 Spring Security。
| 您可以在 Hazelcast Spring Security 示例应用程序中找到完整的指南。 |
更新依赖项
在使用 Spring Session 之前,您必须更新您的依赖项。如果您使用 Maven,您必须添加以下依赖项
<dependencies>
<!-- ... -->
<dependency>
<groupId>com.hazelcast</groupId>
<artifactId>hazelcast</artifactId>
<version>5.4.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.5</version>
</dependency>
</dependencies>Spring 配置
添加必要的依赖项后,我们可以创建 Spring 配置。Spring 配置负责创建一个 Servlet 过滤器,用由 Spring Session 支持的实现替换 HttpSession 实现。为此,请添加以下 Spring 配置
@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {
@Bean
public HazelcastInstance hazelcastInstance() {
Config config = new Config();
AttributeConfig attributeConfig = new AttributeConfig()
.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
.setExtractorClassName(PrincipalNameExtractor.class.getName());
config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
.addAttributeConfig(attributeConfig)
.addIndexConfig(
new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
SerializerConfig serializerConfig = new SerializerConfig();
serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
return Hazelcast.newHazelcastInstance(config); (4)
}
}| 1 | @EnableHazelcastHttpSession 注解创建一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现了 Filter。该过滤器负责替换由 Spring Session 支持的 HttpSession 实现。在此示例中,Spring Session 由 Hazelcast 支持。 |
| 2 | 为了支持通过主体名称索引检索会话,需要注册一个适当的 ValueExtractor。Spring Session 为此目的提供了 PrincipalNameExtractor。 |
| 3 | 为了高效地序列化 MapSession 对象,需要注册 HazelcastSessionSerializer。如果未设置此项,Hazelcast 将使用原生 Java 序列化方式序列化会话。 |
| 4 | 我们创建一个将 Spring Session 连接到 Hazelcast 的 HazelcastInstance。默认情况下,应用程序启动并连接到 Hazelcast 的嵌入式实例。有关配置 Hazelcast 的更多信息,请参阅参考文档。 |
如果首选 HazelcastSessionSerializer,则需要在所有 Hazelcast 集群成员启动之前为其进行配置。在 Hazelcast 集群中,所有成员应使用相同的会话序列化方法。此外,如果使用 Hazelcast 客户端/服务器拓扑,则成员和客户端都必须使用相同的序列化方法。可以通过 ClientConfig 注册序列化器,使用与成员相同的 SerializerConfiguration。 |
Servlet 容器初始化
我们的Spring 配置创建了一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现了 Filter。springSessionRepositoryFilter bean 负责用由 Spring Session 支持的自定义实现替换 HttpSession。
为了让我们的 Filter 发挥作用,Spring 需要加载我们的 SessionConfig 类。由于我们的应用程序已经使用 SecurityInitializer 类加载 Spring 配置,我们可以将 SessionConfig 类添加到其中。以下清单展示了如何实现
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, SessionConfig.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。极其重要的是,Spring Session 的 springSessionRepositoryFilter 必须在 Spring Security 的 springSecurityFilterChain 之前被调用。这样做可以确保 Spring Security 使用的 HttpSession 由 Spring Session 支持。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的实用类,使得实现这一点变得容易。以下示例展示了如何实现
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们的类名(Initializer)并不重要。重要的是我们扩展了 AbstractHttpSessionApplicationInitializer。 |
通过扩展 AbstractHttpSessionApplicationInitializer,我们可以确保名为 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前为每个请求注册到我们的 Servlet 容器中。
Hazelcast Spring Security 示例应用程序
本节描述了如何使用 Hazelcast Spring Security 示例应用程序。
运行示例应用程序
您可以通过获取源代码并调用以下命令来运行示例
$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
| 默认情况下,Hazelcast 以嵌入模式与您的应用程序一起运行。但是,如果您想连接到独立的实例,可以按照参考文档中的说明进行配置。 |
您现在应该可以通过 localhost:8080/ 访问应用程序
探索安全示例应用程序
您现在可以尝试使用该应用程序了。为此,请输入以下内容登录
-
用户名 user
-
密码 password
现在点击登录按钮。您应该会看到一条消息,表明您已使用之前输入的用户名登录。用户信息存储在 Hazelcast 中,而不是 Tomcat 的 HttpSession 实现中。
它是如何工作的?
我们不是使用 Tomcat 的 HttpSession,而是将值持久化到 Hazelcast 中。Spring Session 将 HttpSession 替换为一个由 Hazelcast 中的 Map 支持的实现。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 时,它就会被持久化到 Hazelcast 中。
与数据存储交互
使用控制台
例如,连接到您的 Hazelcast 节点后,使用管理中心控制台移除会话,运行以下命令
default> ns spring:session:sessions spring:session:sessions> m.clear
| Hazelcast 文档中包含有关控制台的说明。 |
或者,您也可以删除显式键。在控制台中输入以下内容,请务必将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您 SESSION cookie 的值
spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在访问 localhost:8080/ 上的应用程序,并观察到您已不再处于认证状态。
使用 REST API
如文档中介绍其他客户端的部分所述,Hazelcast 节点提供了一个REST API。
例如,您可以如下删除单个键(请务必将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您 SESSION cookie 的值)
$ curl -v -X DELETE http://localhost:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 节点的端口号会在启动时打印到控制台。将 xxxxx 替换为端口号。 |
现在您可以看到,使用此会话,您已不再处于认证状态。
