Spring Session 和 Spring Security
更新依赖项
在使用 Spring Session 之前,您必须更新您的依赖项。如果您使用 Maven,则必须添加以下依赖项
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.3.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.14</version>
</dependency>
</dependencies>Spring 配置
添加所需的依赖项后,我们可以创建 Spring 配置。Spring 配置负责创建一个 servlet 过滤器,该过滤器将 HttpSession 实现替换为由 Spring Session 支持的实现。为此,请添加以下 Spring 配置
@Configuration
@EnableRedisHttpSession (1)
public class Config {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
}| 1 | @EnableRedisHttpSession 注解创建了一个名为 springSessionRepositoryFilter 的 Spring bean,它实现了 Filter 接口。该过滤器负责替换 HttpSession 实现,使其由 Spring Session 支持。在本例中,Spring Session 由 Redis 支持。 |
| 2 | 我们创建一个 RedisConnectionFactory,将 Spring Session 连接到 Redis 服务器。我们配置连接以连接到本地主机上的默认端口 (6379)。有关配置 Spring Data Redis 的更多信息,请参阅 参考文档。 |
Servlet 容器初始化
我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring bean,它实现了 Filter 接口。springSessionRepositoryFilter bean 负责将 HttpSession 替换为由 Spring Session 支持的自定义实现。
为了使我们的 Filter 发挥作用,Spring 需要加载我们的 Config 类。由于我们的应用程序已经通过使用 SecurityInitializer 类加载 Spring 配置,因此我们可以将我们的配置类添加到其中。以下示例演示了如何执行此操作
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, Config.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 在 Spring Security 的 springSecurityFilterChain 之前调用非常重要。这确保了 Spring Security 使用的 HttpSession 由 Spring Session 支持。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的实用程序类,这使得执行此操作变得很容易。以下示例演示了如何执行此操作
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们类的名称(Initializer)无关紧要。重要的是我们扩展了 AbstractHttpSessionApplicationInitializer。 |
通过扩展 AbstractHttpSessionApplicationInitializer,我们确保名为 springSessionRepositoryFilter 的 Spring bean 在 Spring Security 的 springSecurityFilterChain 之前为每个请求注册到我们的 Servlet 容器。
security 示例应用程序
本节介绍如何使用 security 示例应用程序。
运行 security 示例应用程序
您可以通过获取 源代码 并调用以下命令来运行示例
$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
为了使示例正常工作,您必须在本地主机上 安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 服务器。另一种选择是使用 Docker 在本地主机上运行 Redis。有关详细说明,请参阅 Docker Redis 存储库。 |
您现在应该能够在 localhost:8080/ 访问该应用程序
探索 security 示例应用程序
现在您可以使用该应用程序了。输入以下内容登录
-
**用户名** user
-
**密码** password
现在点击**登录**按钮。您现在应该会看到一条消息,指示您已使用之前输入的用户登录。用户信息存储在 Redis 中,而不是 Tomcat 的 HttpSession 实现中。
它是如何工作的?
我们不是使用 Tomcat 的 HttpSession,而是将值持久化到 Redis 中。Spring Session 将 HttpSession 替换为由 Redis 支持的实现。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 时,它就会持久化到 Redis 中。
创建新的 HttpSession 时,Spring Session 会在您的浏览器中创建一个名为 SESSION 的 Cookie。该 Cookie 包含您的会话 ID。您可以使用(Chrome 或 Firefox)查看 Cookie。
您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统上,您可以键入以下命令
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文档包含有关 安装 redis-cli 的说明。 |
或者,您也可以删除显式密钥。将以下命令输入您的终端,确保将7e8383a4-082c-4ffe-a4bc-c40fd3363c5e替换为您SESSION cookie的值。
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在,您可以访问位于localhost:8080/的应用程序,并看到我们不再处于身份验证状态。
