Spring Session 和 Spring Security 與 Hazelcast 的結合

本指南介紹了當您使用 Hazelcast 作為資料儲存時,如何將 Spring Session 與 Spring Security 結合使用。它假設您已經將 Spring Security 應用到您的應用程式中。

您可以在Hazelcast Spring Security 示例應用程式中找到完整的指南。

更新依賴項

在使用 Spring Session 之前,必須更新你的依賴項。如果你使用 Maven,則必須新增以下依賴項

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>com.hazelcast</groupId>
		<artifactId>hazelcast</artifactId>
		<version>5.5.0</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.2.12</version>
	</dependency>
</dependencies>

Spring 配置

新增所需的依賴項後,我們可以建立 Spring 配置。Spring 配置負責建立一個 Servlet 過濾器,該過濾器用 Spring Session 支援的實現替換 HttpSession 實現。為此,請新增以下 Spring 配置

@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {

	@Bean
	public HazelcastInstance hazelcastInstance() {
		Config config = new Config();
		AttributeConfig attributeConfig = new AttributeConfig()
			.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
			.setExtractorClassName(PrincipalNameExtractor.class.getName());
		config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
			.addAttributeConfig(attributeConfig)
			.addIndexConfig(
					new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
		SerializerConfig serializerConfig = new SerializerConfig();
		serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
		config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
		return Hazelcast.newHazelcastInstance(config); (4)
	}

}
1 @EnableHazelcastHttpSession 註解建立了一個名為 springSessionRepositoryFilter 的 Spring Bean,該 Bean 實現了 Filter。此過濾器負責替換 HttpSession 實現,使其由 Spring Session 支援。在此例項中,Spring Session 由 Hazelcast 支援。
2 為了支援按主體名稱索引檢索會話,需要註冊一個適當的 ValueExtractor。Spring Session 為此提供了 PrincipalNameExtractor
3 為了高效序列化 MapSession 物件,需要註冊 HazelcastSessionSerializer。如果未設定此項,Hazelcast 將使用原生 Java 序列化來序列化會話。
4 我們建立一個 HazelcastInstance,將 Spring Session 連線到 Hazelcast。預設情況下,應用程式啟動並連線到 Hazelcast 的嵌入式例項。有關配置 Hazelcast 的更多資訊,請參閱參考文件
如果首選 HazelcastSessionSerializer,則需要在所有 Hazelcast 叢集成員啟動之前為它們進行配置。在 Hazelcast 叢集中,所有成員應使用相同的會話序列化方法。此外,如果使用 Hazelcast 客戶端/伺服器拓撲,則成員和客戶端都必須使用相同的序列化方法。序列化器可以透過 ClientConfig 使用與成員相同的 SerializerConfiguration 進行註冊。

Servlet 容器初始化

我們的Spring 配置建立了一個名為 springSessionRepositoryFilter 的 Spring Bean,它實現了 FilterspringSessionRepositoryFilter Bean 負責將 HttpSession 替換為由 Spring Session 支援的自定義實現。

為了使我們的 Filter 發揮其魔力,Spring 需要載入我們的 SessionConfig 類。由於我們的應用程式已經透過使用 SecurityInitializer 類載入了 Spring 配置,我們可以將 SessionConfig 類新增到其中。以下列表顯示瞭如何執行此操作

src/main/java/sample/SecurityInitializer.java
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {

	public SecurityInitializer() {
		super(SecurityConfig.class, SessionConfig.class);
	}

}

最後,我們需要確保我們的 Servlet 容器(即 Tomcat)為每個請求使用我們的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 在 Spring Security 的 springSecurityFilterChain 之前被呼叫是極其重要的。這樣做可以確保 Spring Security 使用的 HttpSession 由 Spring Session 支援。幸運的是,Spring Session 提供了一個名為 AbstractHttpSessionApplicationInitializer 的實用程式類,可以輕鬆實現這一點。以下示例展示瞭如何執行此操作

src/main/java/sample/Initializer.java
public class Initializer extends AbstractHttpSessionApplicationInitializer {

}
我們類的名稱 (Initializer) 無關緊要。重要的是我們擴充套件了 AbstractHttpSessionApplicationInitializer

透過擴充套件 AbstractHttpSessionApplicationInitializer,我們確保名為 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前為每個請求註冊到我們的 servlet 容器。

Hazelcast Spring Security 示例應用程式

本節介紹如何使用 Hazelcast Spring Security 示例應用程式。

執行示例應用程式

您可以透過獲取原始碼並呼叫以下命令來執行示例:

$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
預設情況下,Hazelcast 與您的應用程式一起在嵌入式模式下執行。但是,如果您想連線到獨立的例項,可以按照參考文件中的說明進行配置。

您現在應該能夠透過 localhost:8080/ 訪問該應用程式

探索安全示例應用程式

現在您可以嘗試使用該應用程式。為此,輸入以下內容登入

  • 使用者名稱 user

  • 密碼 password

現在點選登入按鈕。您應該會看到一條訊息,指示您已使用之前輸入的使用者登入。使用者的資訊儲存在 Hazelcast 中,而不是 Tomcat 的 HttpSession 實現中。

它是如何工作的?

我們不使用 Tomcat 的 HttpSession,而是將值持久化在 Hazelcast 中。Spring Session 將 HttpSession 替換為由 Hazelcast 中的 Map 支援的實現。當 Spring Security 的 SecurityContextPersistenceFilterSecurityContext 儲存到 HttpSession 時,它隨後會持久化到 Hazelcast 中。

當建立一個新的 HttpSession 時,Spring Session 會在您的瀏覽器中建立一個名為 SESSION 的 Cookie。該 Cookie 包含您會話的 ID。您可以使用 ChromeFirefox 檢視 Cookie。

與資料儲存互動

您可以使用Java 客戶端其他客戶端之一管理中心來刪除會話。

使用控制檯

例如,連線到您的 Hazelcast 節點後,要使用管理中心控制檯刪除會話,請執行以下命令

	default> ns spring:session:sessions
	spring:session:sessions> m.clear
Hazelcast 文件中包含控制檯的使用說明。

或者,您也可以刪除顯式鍵。在控制檯中輸入以下內容,務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION cookie 的值

	spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

現在訪問應用程式 localhost:8080/ 並觀察我們不再透過身份驗證。

使用 REST API

如文件中涵蓋其他客戶端的部分所述,Hazelcast 節點提供了REST API

例如,您可以按如下方式刪除單個鍵(務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION cookie 的值)

	$ curl -v -X DELETE https://:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 節點的埠號會在啟動時列印到控制檯。將 xxxxx 替換為埠號。

現在您可以看到您不再透過此會話進行身份驗證。

© . This site is unofficial and not affiliated with VMware.