Spring Session - REST
本指南介紹瞭如何使用 Spring Session 在您使用 REST 端點時,透明地利用 Redis 來支援 Web 應用程式的 HttpSession。
| 您可以在 rest 示例應用程式 中找到完整的指南。 |
更新依賴
在使用 Spring Session 之前,您必須更新您的依賴。如果您使用 Maven,您必須新增以下依賴:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.4.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.5</version>
</dependency>
</dependencies>Spring 配置
新增所需的依賴後,我們可以建立 Spring 配置。Spring 配置負責建立一個 servlet 過濾器,該過濾器將 HttpSession 實現替換為由 Spring Session 支援的實現。為此,請新增以下 Spring 配置:
@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
return HeaderHttpSessionIdResolver.xAuthToken(); (3)
}
}| 1 | @EnableRedisHttpSession 註解建立了一個名為 springSessionRepositoryFilter 的 Spring bean,該 bean 實現了 Filter 介面。該過濾器負責將 HttpSession 實現替換為由 Spring Session 支援的實現。在此示例中,Spring Session 由 Redis 提供支援。 |
| 2 | 我們建立一個 RedisConnectionFactory,用於將 Spring Session 連線到 Redis 伺服器。我們將連線配置為連線到 localhost 的預設埠 (6379)。有關配置 Spring Data Redis 的更多資訊,請參閱 參考文件。 |
| 3 | 我們定製 Spring Session 的 HttpSession 整合,使用 HTTP 頭而不是 Cookie 來傳遞當前會話資訊。 |
Servlet 容器初始化
我們的 Spring 配置 建立了一個名為 springSessionRepositoryFilter 的 Spring Bean,該 bean 實現了 Filter 介面。springSessionRepositoryFilter bean 負責將 HttpSession 替換為由 Spring Session 支援的自定義實現。
為了使我們的 Filter 生效,Spring 需要載入我們的 Config 類。我們在 Spring MvcInitializer 中提供了配置,如下例所示:
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}最後,我們需要確保我們的 Servlet 容器(即 Tomcat)對每個請求都使用我們的 springSessionRepositoryFilter。幸運的是,Spring Session 提供了一個名為 AbstractHttpSessionApplicationInitializer 的工具類,可以輕鬆實現這一點。為此,使用預設建構函式擴充套件該類,如下例所示:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我們的類名 (Initializer) 不重要。重要的是我們擴充套件了 AbstractHttpSessionApplicationInitializer。 |
rest 示例應用程式
本節介紹如何使用 rest 示例應用程式。
執行 rest 示例應用程式
您可以透過獲取原始碼並呼叫以下命令來執行示例:
為了使示例正常工作,您必須在 localhost 上安裝 Redis 2.8+ 並使用預設埠 (6379) 執行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 伺服器。另一種選擇是使用Docker 在 localhost 上執行 Redis。有關詳細說明,請參閱Docker Redis 倉庫。 |
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun
您現在應該能夠透過 localhost:8080/ 訪問應用程式了。
探索 rest 示例應用程式
您現在可以嘗試使用該應用程式。為此,請使用您喜歡的 REST 客戶端請求 localhost:8080/
$ curl -v https://:8080/
請注意,系統會提示您進行基本身份驗證。請提供以下使用者名稱和密碼資訊:
-
使用者名稱 user
-
密碼 password
然後執行以下命令:
$ curl -v https://:8080/ -u user:password
在輸出中,您應該會注意到以下內容:
HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3
{"username":"user"}
具體來說,您應該注意關於我們響應的以下幾點:
-
HTTP 狀態現在是 200。
-
我們有一個名為
X-Auth-Token的頭部,它包含一個新的會話 ID。 -
當前使用者名稱被顯示。
我們現在可以使用 X-Auth-Token 進行另一次請求,而無需再次提供使用者名稱和密碼。例如,以下命令會像之前一樣輸出使用者名稱:
$ curl -v https://:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
唯一的區別是會話 ID 沒有在響應頭中提供,因為我們正在重用現有會話。
如果我們使會話失效,X-Auth-Token 在響應中會顯示為空值。例如,以下命令會使我們的會話失效:
$ curl -v https://:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
您可以在輸出中看到 X-Auth-Token 提供了一個空的 String,表明之前的會話已失效:
HTTP/1.1 204 No Content ... X-Auth-Token:
它是如何工作的?
Spring Security 在 SecurityContextPersistenceFilter 中與標準的 HttpSession 進行互動。
Spring Security 現在將值持久化到 Redis 中,而不是使用 Tomcat 的 HttpSession。Spring Session 會在您的瀏覽器中建立一個名為 X-Auth-Token 的頭部。該頭部包含您會話的 ID。
如果您願意,可以輕鬆地檢視在 Redis 中建立的會話。為此,請使用以下命令建立一個會話:
$ curl -v https://:8080/ -u user:password
在輸出中,您應該會注意到以下內容:
HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
{"username":"user"}
現在您可以使用 redis-cli 刪除會話。例如,在基於 Linux 的系統中,您可以輸入:
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文件中有關於安裝 redis-cli 的說明。 |
或者,您也可以刪除特定的 key。為此,請在您的終端中輸入以下內容,確保將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您 SESSION cookie 的值:
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
我們現在可以使用 X-Auth-Token 對已刪除的會話進行另一次請求,並觀察到系統提示進行身份驗證。例如,以下命令會返回 HTTP 401:
$ curl -v https://:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
