Spring Session - REST
本指南介绍了如何使用 Spring Session 在您使用 REST 端点时,透明地利用 Redis 来支持 Web 应用程序的 HttpSession。
| 您可以在 rest 示例应用程序 中找到完整的指南。 |
更新依赖
在使用 Spring Session 之前,您必须更新您的依赖。如果您使用 Maven,您必须添加以下依赖:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.4.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.5</version>
</dependency>
</dependencies>Spring 配置
添加所需的依赖后,我们可以创建 Spring 配置。Spring 配置负责创建一个 servlet 过滤器,该过滤器将 HttpSession 实现替换为由 Spring Session 支持的实现。为此,请添加以下 Spring 配置:
@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
return HeaderHttpSessionIdResolver.xAuthToken(); (3)
}
}| 1 | @EnableRedisHttpSession 注解创建了一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现了 Filter 接口。该过滤器负责将 HttpSession 实现替换为由 Spring Session 支持的实现。在此示例中,Spring Session 由 Redis 提供支持。 |
| 2 | 我们创建一个 RedisConnectionFactory,用于将 Spring Session 连接到 Redis 服务器。我们将连接配置为连接到 localhost 的默认端口 (6379)。有关配置 Spring Data Redis 的更多信息,请参阅 参考文档。 |
| 3 | 我们定制 Spring Session 的 HttpSession 集成,使用 HTTP 头而不是 Cookie 来传递当前会话信息。 |
Servlet 容器初始化
我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring Bean,该 bean 实现了 Filter 接口。springSessionRepositoryFilter bean 负责将 HttpSession 替换为由 Spring Session 支持的自定义实现。
为了使我们的 Filter 生效,Spring 需要加载我们的 Config 类。我们在 Spring MvcInitializer 中提供了配置,如下例所示:
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的工具类,可以轻松实现这一点。为此,使用默认构造函数扩展该类,如下例所示:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们的类名 (Initializer) 不重要。重要的是我们扩展了 AbstractHttpSessionApplicationInitializer。 |
rest 示例应用程序
本节介绍如何使用 rest 示例应用程序。
运行 rest 示例应用程序
您可以通过获取源代码并调用以下命令来运行示例:
为了使示例正常工作,您必须在 localhost 上安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 服务器。另一种选择是使用Docker 在 localhost 上运行 Redis。有关详细说明,请参阅Docker Redis 仓库。 |
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun
您现在应该能够通过 localhost:8080/ 访问应用程序了。
探索 rest 示例应用程序
您现在可以尝试使用该应用程序。为此,请使用您喜欢的 REST 客户端请求 localhost:8080/
$ curl -v http://localhost:8080/
请注意,系统会提示您进行基本身份验证。请提供以下用户名和密码信息:
-
用户名 user
-
密码 password
然后运行以下命令:
$ curl -v http://localhost:8080/ -u user:password
在输出中,您应该会注意到以下内容:
HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3
{"username":"user"}
具体来说,您应该注意关于我们响应的以下几点:
-
HTTP 状态现在是 200。
-
我们有一个名为
X-Auth-Token的头部,它包含一个新的会话 ID。 -
当前用户名被显示。
我们现在可以使用 X-Auth-Token 进行另一次请求,而无需再次提供用户名和密码。例如,以下命令会像之前一样输出用户名:
$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
唯一的区别是会话 ID 没有在响应头中提供,因为我们正在重用现有会话。
如果我们使会话失效,X-Auth-Token 在响应中会显示为空值。例如,以下命令会使我们的会话失效:
$ curl -v http://localhost:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
您可以在输出中看到 X-Auth-Token 提供了一个空的 String,表明之前的会话已失效:
HTTP/1.1 204 No Content ... X-Auth-Token:
它是如何工作的?
Spring Security 在 SecurityContextPersistenceFilter 中与标准的 HttpSession 进行交互。
Spring Security 现在将值持久化到 Redis 中,而不是使用 Tomcat 的 HttpSession。Spring Session 会在您的浏览器中创建一个名为 X-Auth-Token 的头部。该头部包含您会话的 ID。
如果您愿意,可以轻松地查看在 Redis 中创建的会话。为此,请使用以下命令创建一个会话:
$ curl -v http://localhost:8080/ -u user:password
在输出中,您应该会注意到以下内容:
HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
{"username":"user"}
现在您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统中,您可以输入:
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文档中有关于安装 redis-cli 的说明。 |
或者,您也可以删除特定的 key。为此,请在您的终端中输入以下内容,确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您 SESSION cookie 的值:
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
我们现在可以使用 X-Auth-Token 对已删除的会话进行另一次请求,并观察到系统提示进行身份验证。例如,以下命令会返回 HTTP 401:
$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
