Spring Session 和 Spring Security
更新依赖项
在使用Spring Session之前,您必须更新您的依赖项。 如果您使用Maven,请添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>4.0.2</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.8.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>7.0.3</version>
</dependency>
</dependencies>Spring 配置
在添加了所需的依赖项后,我们可以创建我们的Spring配置。
Spring 配置负责创建一个servlet过滤器,该过滤器用基于Spring Session 的实现替换掉 HttpSession 实现。
要实现这一点,请添加以下Spring 配置:
@Configuration
@EnableRedisHttpSession (1)
public class Config {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
}| 1 | The @EnableRedisHttpSession 注解创建一个名为 springSessionRepositoryFilter 的 Spring bean,该bean实现 Filter。
过滤器负责将 HttpSession 实现替换为由 Spring Session 支持的实现。
在这个例子中,Spring Session 由 Redis 支持。 |
| 2 | 我们创建一个RedisConnectionFactory来将Spring Session连接到Redis服务器。
我们配置了连接以连接到本地主机的默认端口(6379)
有关配置Spring Data Redis的更多信息,请参阅参考文档。 |
Servlet 容器初始化
我们的springSessionRepositoryFilter的Spring Bean,该Bean实现了Filter。
springSessionRepositoryFilter Bean负责用一个由Spring Session支持的自定义实现来替换HttpSession。
为了使我们的Filter发挥魔力,Spring 需要加载我们的Config类。
由于我们的应用程序已经通过使用SecurityInitializer类来加载 Spring 配置,我们可以将其配置类添加到其中。
以下示例展示了如何做到这一点:
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, Config.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)在每次请求中都使用我们的 springSessionRepositoryFilter。
Spring Session 的 springSessionRepositoryFilter 必须在 Spring Security 的 springSecurityFilterChain 之前被调用,这是非常重要的。
这样可以确保 Spring Security 使用的 HttpSession 是由 Spring Session 支持的。
幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的工具类,使得这一操作变得容易。
下面的例子展示了如何实现这一点:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们的类名(Initializer)无关紧要。重要的是我们继承了AbstractHttpSessionApplicationInitializer。 |
通过扩展AbstractHttpSessionApplicationInitializer,我们确保名为springSessionRepositoryFilter的Spring bean在每次请求中都会被注册到我们的Servlet容器中,在Spring Security的springSecurityFilterChain之前。
security示例应用程序
此部分描述了如何使用security示例应用程序。
运行security示例应用程序
您可以运行示例程序,通过获取源代码并执行以下命令来实现:
$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
对于样例要正常工作,您必须在本地主机上安装 Redis 2.8+ 并使用默认端口(6379)运行它。
或者,您可以更新 RedisConnectionFactory 指向一个 Redis 服务器。
另一个选项是使用 Docker 在本地主机上运行 Redis。
有关详细说明,请参阅 Docker Redis 仓库。 |
您应该能够通过以下地址访问应用:localhost:8080/
探索security示例应用程序
现在您可以使用该应用程序了。请输入以下内容进行登录:
-
用户名 user
-
密码 密码
现在点击 登录 按钮。
你应该会看到一个消息,表明你已使用之前输入的用户名成功登录。
用户信息存储在 Redis 中,而不是 Tomcat 的 HttpSession 实现。
它是如何工作的?
而不是使用Tomcat的HttpSession,我们将在Redis中持久化这些值。
Spring Session用一个基于Redis的实现替换了HttpSession。
当Spring Security的SecurityContextPersistenceFilter将SecurityContext保存到HttpSession时,它会被持久化到Redis中。
当一个新的HttpSession被创建时,Spring Session会在你的浏览器中创建一个名为SESSION的cookie。
该cookie包含你的会话ID。
你可以通过Chrome或Firefox查看这些cookie。
可以使用redis-cli移除会话。例如,在基于Linux的系统上,您可以输入以下命令:
$ redis-cli keys '*' | xargs redis-cli del
| The Redis 文档有安装 redis-cli 的说明。安装 redis-cli |
Alternatively, 您也可以删除显式的密钥。
在终端中输入以下命令,确保将7e8383a4-082c-4ffe-a4bc-c40fd3363c5e替换为您SESSIONcookie的值:
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在您可以在localhost:8080/访问应用程序,并看到我们已经不再需要身份验证了。