Spring Session 与 Spring Security

本指南介绍了如何将 Spring Session 与 Spring Security 一起使用。它假设您已经在您的应用程序中应用了 Spring Security。

您可以在 security 示例应用程序中找到完整的指南。

更新依赖

在使用 Spring Session 之前,您必须更新您的依赖。如果您使用 Maven,则必须添加以下依赖

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>org.springframework.session</groupId>
		<artifactId>spring-session-data-redis</artifactId>
		<version>3.4.3</version>
		<type>pom</type>
	</dependency>
	<dependency>
		<groupId>io.lettuce</groupId>
		<artifactId>lettuce-core</artifactId>
		<version>6.3.2.RELEASE</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.2.5</version>
	</dependency>
</dependencies>

Spring 配置

添加必要的依赖后,我们可以创建 Spring 配置。Spring 配置负责创建一个 Servlet 过滤器,该过滤器用 Spring Session 支持的实现替换 HttpSession 实现。为此,请添加以下 Spring 配置

@Configuration
@EnableRedisHttpSession (1)
public class Config {

	@Bean
	public LettuceConnectionFactory connectionFactory() {
		return new LettuceConnectionFactory(); (2)
	}

}
1 @EnableRedisHttpSession 注解会创建一个名为 springSessionRepositoryFilter 的 Spring Bean,该 Bean 实现了 Filter 接口。该过滤器负责将 HttpSession 的实现替换为由 Spring Session 支持的实现。在此示例中,Spring Session 由 Redis 支持。
2 我们创建一个 RedisConnectionFactory,用于将 Spring Session 连接到 Redis 服务器。我们将连接配置为连接到 localhost 的默认端口 (6379)。有关配置 Spring Data Redis 的更多信息,请参阅参考文档

Servlet 容器初始化

我们的Spring 配置创建了一个名为 springSessionRepositoryFilter 的 Spring Bean,该 Bean 实现了 Filter 接口。springSessionRepositoryFilter Bean 负责将 HttpSession 替换为由 Spring Session 支持的自定义实现。

为了让我们的 Filter 起作用,Spring 需要加载我们的 Config 类。由于我们的应用程序已经使用 SecurityInitializer 类加载 Spring 配置,我们可以将我们的配置类添加到其中。以下示例展示了如何实现

src/main/java/sample/SecurityInitializer.java
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {

	public SecurityInitializer() {
		super(SecurityConfig.class, Config.class);
	}

}

最后,我们需要确保 Servlet 容器(例如 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 必须在 Spring Security 的 springSecurityFilterChain 之前调用,这一点至关重要。这可以确保 Spring Security 使用的 HttpSession 由 Spring Session 支持。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的实用类,这使得实现这一点变得容易。以下示例展示了如何实现

src/main/java/sample/Initializer.java
public class Initializer extends AbstractHttpSessionApplicationInitializer {

}
我们的类名(Initializer)并不重要。重要的是我们继承了 AbstractHttpSessionApplicationInitializer。

通过继承 AbstractHttpSessionApplicationInitializer,我们确保名为 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前注册到我们的 Servlet 容器中,处理每个请求。

security 示例应用程序

本节介绍如何使用 security 示例应用程序。

运行 security 示例应用程序

您可以通过获取源代码并调用以下命令来运行示例

$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
要使示例正常工作,您必须在 localhost 上安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。或者,您可以更新 RedisConnectionFactory 以指向另一个 Redis 服务器。另一种选择是使用Docker 在 localhost 上运行 Redis。有关详细说明,请参阅Docker Redis 仓库

现在您应该能够通过 localhost:8080/ 访问该应用程序了

探索 security 示例应用程序

现在您可以使用该应用程序了。输入以下内容进行登录

  • 用户名 user

  • 密码 password

现在点击 Login 按钮。您应该看到一条消息,指示您已使用之前输入的用户登录。用户的会话信息存储在 Redis 中,而不是 Tomcat 的 HttpSession 实现中。

工作原理

我们不是使用 Tomcat 的 HttpSession,而是将值持久化到 Redis 中。Spring Session 用一个由 Redis 支持的实现替换了 HttpSession。当 Spring Security 的 SecurityContextPersistenceFilterSecurityContext 保存到 HttpSession 时,它随后会被持久化到 Redis 中。

创建新的 HttpSession 时,Spring Session 会在您的浏览器中创建一个名为 SESSION 的 cookie。该 cookie 包含您的会话 ID。您可以查看 cookie(使用 ChromeFirefox)。

您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统上,您可以输入以下命令

	$ redis-cli keys '*' | xargs redis-cli del
Redis 文档提供了安装 redis-cli 的说明。

或者,您也可以删除特定的 key。在终端中输入以下命令,请务必将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您 SESSION cookie 的值

$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

现在您可以访问 localhost:8080/ 查看,您将不再处于认证状态。