Spring Session - REST
更新依赖关系
在使用春季会话之前,您必须更新依赖。 如果你使用 Maven,必须添加以下依赖关系:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.5.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.5.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.12</version>
</dependency>
</dependencies>Spring配置
添加所需的依赖后,我们可以创建 Spring 配置。
Spring配置负责创建一个servletFilter,以替换HttpSession实现时,Spring Session支持的实现。
为此,添加以下Spring配置:
@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
return HeaderHttpSessionIdResolver.xAuthToken(); (3)
}
}| 1 | 这@EnableRedisHttpSession注释生成一个名为springSessionRepositoryFilter实现Filter.
过滤器负责更换HttpSession实施将由Spring Session支持。
这次,Spring Session 得到了 Redis 的支持。 |
| 2 | 我们创建一个RedisConnection工厂它将 Spring Session 连接到 Redis 服务器。
我们配置连接连接到默认端口(6379)的本地主机。
有关配置 Spring Data Redis 的更多信息,请参阅参考文档。 |
| 3 | 我们定制了 Spring Session 的 HttpSession 集成,使用HTTP头部来传递当前会话信息,而非Cookie。 |
Servlet 容器初始化
我们的Spring配置创建了一个名为springSessionRepositoryFilter实现Filter.
这springSessionRepositoryFilterBean负责替换HttpSession并采用由 Spring Session 支持的自定义实现。
为了我们的Filter要施展它的魔力,Spring需要加载我们的配置类。
我们在春季中提供了配置Mvc初始化器,如下示例所示:
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}最后,我们需要确保我们的Servlet容器(即Tomcat)使用我们的springSessionRepositoryFilter每一个请求。
幸运的是,Spring Session 提供了一个名为AbstractHttpSessionApplicationInitializer这让事情变得非常简单。为此,可以用默认构造函数扩展该类,如下示例所示:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们班的名称(初始 化)并不重要。重要的是我们要延展AbstractHttpSessionApplicationInitializer. |
休息示例应用
本节描述如何使用休息示例应用。
运行休息示例应用
您可以通过获取源代码并调用以下命令来运行示例:
为了让样本正常工作,你必须在localhost上安装Redis 2.8+,并用默认端口(6379)运行。
或者,你也可以更新RedisConnection工厂指向一个Redis服务器。
另一个选择是用 Docker 在 localhost 上运行 Redis。
详见 Docker Redis 仓库中的详细说明。 |
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun
你现在应该可以在localhost:8080/访问该应用了
探索休息示例应用
你现在可以尝试使用这个应用程序了。为此,可以使用你喜欢的 REST 客户端请求 localhost:8080/
$ curl -v http://localhost:8080/
请注意,系统提示您进行基本认证。请提供以下用户名和密码信息:
-
用户名
-
密码密码
然后执行以下命令:
$ curl -v http://localhost:8080/ -u user:password
在输出中,你应该注意到以下内容:
HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3
{"username":"user"}
具体来说,你应该注意到我们回复中的一些点:
-
HTTP 状态现在是 200。
-
我们有一个名为 的头部
X-认证Tokens而这个会话ID包含了一个新的会话ID。 -
当前用户名显示在内。
我们现在可以使用X-认证Tokens再次请求,但不提供用户名和密码。例如,以下命令输出用户名,和之前一样:
$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
唯一的区别是响应头部没有提供会话ID,因为我们重复使用了已有的会话。
如果我们使该会话无效,则X-认证Tokens在响应中显示为空值。例如,以下命令会使我们的会话失效:
$ curl -v http://localhost:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
你可以在输出中看到X-认证Tokens提供空字符串表明上一次会议被取消:
HTTP/1.1 204 No Content ... X-Auth-Token:
它是如何运作的?
Spring Security 与该标准有交互作用HttpSession在SecurityContextPersistenceFilter.
而不是用Tomcat的HttpSessionSpring Security 现在正在 Redis 中持续保存这些数值。
Spring Session 创建一个名为X-认证Tokens在你的浏览器里。
该头包含会话的ID。
如果你愿意,你可以轻松看到会话是在Redis里创建的。 为此,请使用以下命令创建会话:
$ curl -v http://localhost:8080/ -u user:password
在输出中,你应该注意到以下内容:
HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
{"username":"user"}
现在你可以用redis-cli删除该会话。 例如,在基于Linux的系统中,你可以输入:
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文档中有安装 redis-cli 的说明。 |
或者,你也可以删除显式密钥。
作方法是在终端输入以下内容,确保替换7E8383A4-082C-4fFE-A4BC-C40FD3363C5E其价值为会期饼干:
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
我们现在可以使用X-认证Tokens对于我们删除并观察的会话,我们会被要求认证,以提出另一个请求。例如,以下返回HTTP 401:
$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"