常见配置
此部分包含适用于所有或大多数Spring Session模块的常见配置。 它包括以下用例的配置示例:
-
我需要自定义会话cookie属性定制会话cookie属性
-
我希望为
ReactiveSessionRepository提供 Spring Session 实现,以支持并发会话控制
更改会话ID生成方式
默认情况下,Spring Session 使用 UuidSessionIdGenerator 生成会话 ID,而 UuidSessionIdGenerator 又使用了 java.util.UUID 来生成会话 ID。
在某些场景中,可能需要包含其他字符以增加随机性,或者您可能希望使用不同的算法来生成会话 ID。
要更改此设置,可以提供一个自定义的 SessionIdGenerator Bean:
-
Java
@Bean
public SessionIdGenerator sessionIdGenerator() {
return new MySessionIdGenerator();
}
class MySessionIdGenerator implements SessionIdGenerator {
@Override
public String generate() {
// ...
}
}在公开了你的SessionIdGenerator Bean 后,Spring Session 将会使用它来生成会话 ID。
如果您手动配置了SessionRepository bean(而不是使用@EnableRedisHttpSession等),则可以直接在SessionRepository实现上设置SessionIdGenerator:
SessionIdGenerator设置为SessionRepository实现-
Java
@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
repository.setSessionIdGenerator(new MySessionIdGenerator());
return repository;
}自定义会话 Cookie
一旦您已经设置了Spring Session,可以通过暴露一个CookieSerializer作为Spring bean来自定义会话cookie的写入方式。
Spring Session自带了DefaultCookieSerializer。
当使用配置如@EnableRedisHttpSession时,暴露DefaultCookieSerializer作为Spring bean可以增强现有的配置。
以下示例展示了如何自定义Spring Session的cookie:
@Bean
public CookieSerializer cookieSerializer() {
DefaultCookieSerializer serializer = new DefaultCookieSerializer();
serializer.setCookieName("JSESSIONID"); (1)
serializer.setCookiePath("/"); (2)
serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
return serializer;
}| 1 | 我们自定义cookie的名字为JSESSIONID。 |
| 2 | 我们自定义了cookie的路径为/(而不是默认的上下文根路径)。 |
| 3 | 我们自定义域名模式(正则表达式)为 ^.?\\.(\\w\\.[a-z]+)$。
这允许在不同域和应用程序之间共享会话。
如果正则表达式不匹配,则不设置域名,而是使用现有域名。
如果正则表达式匹配,则使用第一个 分组 作为域名。
这意味着对 child.example.com 的请求会将域名设置为 example.com。
然而,对 localhost:8080/ 或 192.168.1.100:8080/ 的请求不会设置 Cookie,因此在开发环境中无需任何更改即可正常工作,同时也适用于生产环境。 |
| 您应该仅匹配有效的域名字符,因为域名会在响应中被反映出来。 这样做可以防止恶意用户执行如HTTP响应拆分等攻击。 |
配置选项
以下配置选项可用:
-
cookieName: 使用的cookie名称。 默认值:SESSION. -
useSecureCookie: 指定是否应使用安全cookie。 默认值:创建时使用HttpServletRequest.isSecure()的值。 -
cookiePath: Cookie 的路径。 默认值:上下文根路径。 -
cookieMaxAge: 指定在会话创建时设置的cookie的最大年龄。 默认值:-1, 表示当浏览器关闭时应移除cookie。 -
jvmRoute: 指定一个后缀附加到会话ID并包含在cookie中。 用于识别将哪个JVM路由给会话亲和性。 使用某些实现(例如,Redis)时,此选项不会提供性能优势。 但是,它可以帮助跟踪特定用户的日志记录。 -
domainName: 允许指定用于cookie的特定域名。此选项易于理解,但在开发环境和生产环境中通常需要不同的配置。
请参阅domainNamePattern作为替代方案。 -
domainNamePattern: 一个不区分大小写的模式,用于从HttpServletRequest#getServerName()中提取域名。 该模式应提供一个分组,用于提取 cookie 域名的值。如果正则表达式没有匹配,则不设置域,并使用现有域名; 如果正则表达式匹配,则第一个分组被用作域名。 -
sameSite: The value for the123. Default:Lax -
rememberMeRequestAttribute: 表示记住我登录的请求属性名称。如果指定了该值,将会写入一个cookie。
|
如果使用 |
WebFlux 中的自定义 Cookie
您可以通过暴露一个 `0` 作为 Spring 模块来自定义 WebFlux 应用程序中的会话 cookies 的写入方式。
Spring Session 默认使用的是 `CookieWebSessionIdResolver`。
以下示例展示了如何自定义 Spring Session 的 cookie:
@Bean
public WebSessionIdResolver webSessionIdResolver() {
CookieWebSessionIdResolver resolver = new CookieWebSessionIdResolver();
resolver.setCookieName("JSESSIONID"); (1)
resolver.addCookieInitializer((builder) -> builder.path("/")); (2)
resolver.addCookieInitializer((builder) -> builder.sameSite("Strict")); (3)
return resolver;
}| 1 | 我们自定义cookie的名字为JSESSIONID。 |
| 2 | 我们自定义了cookie的路径为/(而不是默认的上下文根路径)。 |
| 3 | 我们自定义了SameSite Cookie 指令为Strict。 |
提供 Spring Session 实现ReactiveSessionRegistry
Spring Session 提供了与 Spring Security 的集成,以支持其响应式并发会话控制。这允许限制单个用户可以同时拥有的活跃会话数量,但与默认的 Spring Security 支持不同的是,这种实现也可以在集群环境中工作。
这是通过提供 Spring Security 的 ReactiveSessionRegistry 接口的 SpringSessionBackedReactiveSessionRegistry 实现来完成的。
-
Java
@Bean
public <S extends Session> SpringSessionBackedReactiveSessionRegistry<S> sessionRegistry(
ReactiveSessionRepository<S> sessionRepository,
ReactiveFindByIndexNameSessionRepository<S> indexedSessionRepository) {
return new SpringSessionBackedReactiveSessionRegistry<>(sessionRepository, indexedSessionRepository);
}请参阅Spring Security 同时会话控制 文档以了解使用ReactiveSessionRegistry的更多方法。您还可以在这里查看一个示例应用程序 这里。