|
该版本仍在开发中,尚未被视为稳定。最新稳定版请使用Spring Session 3.5.3! |
春季课程与春季安全与Hazelcast
本指南介绍了当你使用 Hazelcast 作为数据存储时,如何使用 Spring Session 和 Spring Security。 它假设你已经为你的应用了 Spring Security。
| 你可以在Hazelcast Spring Security样本申请中找到完整的指南。 |
更新依赖关系
在使用 Spring Session 之前,您必须更新依赖。如果您使用 Maven,必须添加以下依赖:
<dependencies>
<!-- ... -->
<dependency>
<groupId>com.hazelcast</groupId>
<artifactId>hazelcast</artifactId>
<version>5.4.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.12</version>
</dependency>
</dependencies>Spring配置
添加所需的依赖后,我们可以创建 Spring 配置。
Spring配置负责创建一个servletFilter,以替换HttpSession实现时,Spring Session支持的实现。
为此,添加以下Spring配置:
@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {
@Bean
public HazelcastInstance hazelcastInstance() {
Config config = new Config();
AttributeConfig attributeConfig = new AttributeConfig()
.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
.setExtractorClassName(PrincipalNameExtractor.class.getName());
config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
.addAttributeConfig(attributeConfig)
.addIndexConfig(
new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
SerializerConfig serializerConfig = new SerializerConfig();
serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
return Hazelcast.newHazelcastInstance(config); (4)
}
}| 1 | 这@EnableHazelcastHttpSession注释生成一个名为springSessionRepositoryFilter实现Filter.
过滤器负责更换HttpSession实施将由Spring Session支持。
在这种情况下,Spring Session得到了Hazelcast的支持。 |
| 2 | 为了支持通过主体名称索引检索会话,需要一个合适的价值提取器需要注册。
春季课程提供PrincipalNameExtractor为此目的。 |
| 3 | 为了进行序列化地图会话对象高效,HazelcastSessionSerializer需要注册。如果是这样
未设置,Hazelcast 将使用原生 Java 序列化来序列化会话。 |
| 4 | 我们创建一个Hazelcast实例该项目将春季课程与Hazelcast连接起来。
默认情况下,应用启动并连接到嵌入的 Hazelcast 实例。
有关配置Hazelcast的更多信息,请参阅参考文档。 |
如果HazelcastSessionSerializer优先设置,需要在所有 Hazelcast 集群成员开始前配置好。
在Hazelcast集群中,所有成员会话应使用相同的序列化方法。另外,如果 Hazelcast 客户端/服务器拓扑
如果被使用,则成员和客户端都必须使用相同的序列化方法。串行器可以通过以下方式注册ClientConfig同串行器配置成员。 |
Servlet 容器初始化
我们的春季配置创建了一个名为springSessionRepositoryFilter实现Filter.
这springSessionRepositoryFilterBean负责替换HttpSession并采用由 Spring Session 支持的自定义实现。
为了我们的Filter要施展它的魔力,Spring需要加载我们的SessionConfig类。
由于我们的应用已经通过使用 Spring 配置加载安全初始化器类,我们可以添加SessionConfig有品味。
以下列表展示了如何实现:
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, SessionConfig.class);
}
}最后,我们需要确保我们的Servlet容器(即Tomcat)使用我们的springSessionRepositoryFilter每一个请求。
Spring Session非常重要springSessionRepositoryFilter在春季安全之前被调用springSecurityFilterChain.
这样做可以确保HttpSessionSpring Security 使用的 Spring Session 是为其后盾。
幸运的是,Spring Session 提供了一个名为AbstractHttpSessionApplicationInitializer这让这件事变得非常轻松。
以下示例展示了如何实现:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们班的名称(初始 化)并不重要。重要的是我们要延展AbstractHttpSessionApplicationInitializer. |
通过扩展AbstractHttpSessionApplicationInitializer,我们确保春豆命名springSessionRepositoryFilter在Spring Security之前,已通过我们的servlet容器注册了所有请求springSecurityFilterChain.
Hazelcast Spring Security示例应用
本节介绍如何使用Hazelcast Spring Security示例应用。
运行示例应用
您可以通过获取源代码并调用以下命令来运行示例:
$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
| 默认情况下,Hazelcast 会在你的应用中以嵌入式模式运行。 不过,如果你想连接独立实例,可以通过参考文档中的说明进行配置。 |
你现在应该可以在localhost:8080/访问该应用了
探索安全样本应用
你现在可以尝试使用这个应用程序了。 登录方式请输入以下信息:
-
用户名
-
密码密码
现在点击登录按钮。
你现在应该会看到一条消息,提示你已经登录了之前输入的用户。
用户的信息存储在Hazelcast中,而非Tomcat的HttpSession实现。
它是如何运作的?
而不是用Tomcat的HttpSession,我们在Hazelcast中保持这些值。
Spring Session取代了HttpSession其实现由地图在Hazelcast中。
当春季安全SecurityContextPersistenceFilter节省安全上下文前往HttpSession然后,它会被持久化为Hazelcast。
与数据存储交互
使用控制台
例如,连接 Hazelcast 节点后,使用管理中心控制台移除会话,执行以下命令:
default> ns spring:session:sessions spring:session:sessions> m.clear
| Hazelcast的文档里有关于该主机的说明。 |
或者,你也可以删除显式密钥。在控制台中输入以下内容,确保更换7E8383A4-082C-4fFE-A4BC-C40FD3363C5E其价值为会期饼干:
spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在访问 localhost:8080/ 的应用程序,发现我们不再认证。
使用 REST API
正如文档中涵盖其他客户端的部分所描述的,Hazelcast节点提供了REST API。
例如,你可以删除单个密钥(确保替换)7E8383A4-082C-4fFE-A4BC-C40FD3363C5E以您的SESSION cookie值计算):
$ curl -v -X DELETE http://localhost:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 节点的端口号会在启动时打印到控制台上。取代xxxxx带有端口号。 |
现在你可以看到这次会话中你不再被认证。