|
此版本仍在开发中,尚未被认为是稳定的。请使用最新的稳定版本 Spring Session 4.0.2! |
Spring Session - REST
更新依赖项
在使用Spring Session之前,您必须更新您的依赖项。 如果您使用Maven,请添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>4.0.3-SNAPSHOT</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.8.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>7.0.3</version>
</dependency>
</dependencies>Spring 配置
在添加了所需的依赖项后,我们可以创建我们的Spring配置。
Spring 配置负责创建一个servlet过滤器,该过滤器用基于Spring Session 的实现替换掉 HttpSession 实现。
要实现这一点,请添加以下Spring 配置:
@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
return HeaderHttpSessionIdResolver.xAuthToken(); (3)
}
}| 1 | The @EnableRedisHttpSession 注解创建一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现了 Filter。
该过滤器负责将 HttpSession 实现替换为由 Spring Session 支持的实现。
在此情况下,Spring Session 由 Redis 支持。 |
| 2 | 我们创建一个RedisConnectionFactory来将Spring Session与Redis服务器连接起来。
我们配置了连接信息,使其连接到本地主机的默认端口(6379)。
有关配置Spring Data Redis的更多信息,请参见参考文档。 |
| 3 | 我们自定义了Spring Session的HttpSession集成,使其通过HTTP标头来传递当前会话信息而不是使用cookie。 |
Servlet 容器初始化
我们的springSessionRepositoryFilter的Spring Bean,该Bean实现了Filter。
springSessionRepositoryFilter Bean负责用一个由Spring Session支持的自定义实现来替换HttpSession。
为了使我们的Filter能够发挥作用,Spring需要加载我们的Config类。
我们通过Spring的MvcInitializer提供配置,如下例所示:
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}最后,我们需要确保我们的Servlet容器(即Tomcat)为每个请求使用我们的springSessionRepositoryFilter。
幸运的是,Spring Session提供了一个名为AbstractHttpSessionApplicationInitializer的实用类,使得这一操作变得简单。要做到这一点,请使用默认构造函数扩展该类,如以下示例所示:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们的类名(Initializer)无关紧要。重要的是我们继承了AbstractHttpSessionApplicationInitializer。 |
rest示例应用程序
此部分描述了如何使用rest样本应用程序。
运行rest示例应用程序
您可以运行示例程序,通过获取源代码并执行以下命令来实现:
对于样例要正常工作,您必须在本地主机上安装 Redis 2.8+ 并使用默认端口(6379)运行它。
或者,您可以更新 RedisConnectionFactory 指向一个 Redis 服务器。
另一个选项是使用 Docker 在本地主机上运行 Redis。
有关详细说明,请参阅 Docker Redis 仓库。 |
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun
您应该能够通过以下地址访问应用:localhost:8080/
探索rest示例应用程序
您现在可以尝试使用该应用程序了。为此,请使用您最喜欢的REST客户端请求 http://localhost:8080/
$ curl -v http://localhost:8080/
注意,您将被提示进行基本身份验证。请输入以下信息作为用户名和密码:
-
用户名 user
-
密码 密码
然后运行以下命令:
$ curl -v http://localhost:8080/ -u user:password
在输出中,你应该注意到以下内容:
HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3
{"username":"user"}
具体来说,你应该注意我们响应中的以下事项:
-
The HTTP Status is now a 200.
-
我们有一个名为
X-Auth-Token的头部,并且包含一个新的会话ID。 -
当前用户名显示在这里。
我们现在可以使用 X-Auth-Token 来进行另一个请求而无需再次提供用户名和密码。例如,以下命令会输出用户名,就像之前一样:
$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
The only difference is that the session ID is not provided in the response headers because we are reusing an existing session.
如果我们将会话作废,响应中将显示X-Auth-Token并带有空值。例如,以下命令将作废我们的会话:
$ curl -v http://localhost:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
您可以在输出中看到,X-Auth-Token 提供了一个空的 String,这表明之前的会话已被注销:
HTTP/1.1 204 No Content ... X-Auth-Token:
它是如何工作的?
Spring Security 与标准的 HttpSession 在 SecurityContextPersistenceFilter 中进行交互。
不再使用Tomcat的HttpSession,现在Spring Security将这些值持久化在Redis中。
Spring Session会在您的浏览器中创建一个名为X-Auth-Token的头部。
该头部包含您会话的ID。
如果愿意的话,您可以轻松查看会话是否已在Redis中创建。 为此,请使用以下命令创建一个会话:
$ curl -v http://localhost:8080/ -u user:password
在输出中,你应该注意到以下内容:
HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
{"username":"user"}
现在您可以使用 redis-cli 删除会话。 例如,在基于 Linux 的系统中,可以输入:
$ redis-cli keys '*' | xargs redis-cli del
| The Redis 文档有安装 redis-cli 的说明。安装 redis-cli |
也可以删除显式的密钥。
要执行此操作,请在终端中输入以下内容,并确保将7e8383a4-082c-4ffe-a4bc-c40fd3363c5e替换为您的SESSION cookie的值:
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
我们现在可以使用 X-Auth-Token 来发出另一个请求,用我们刚删除的会话,并观察是否会被提示重新认证。例如,以下返回HTTP 401状态码:
$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"