Spring Session 和 Spring Security
更新依賴項
在使用 Spring Session 之前,必須更新你的依賴項。如果你使用 Maven,則必須新增以下依賴項
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.5.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.5.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.12</version>
</dependency>
</dependencies>Spring 配置
新增所需的依賴項後,我們可以建立 Spring 配置。Spring 配置負責建立一個 Servlet 過濾器,該過濾器用 Spring Session 支援的實現替換 HttpSession 實現。為此,請新增以下 Spring 配置
@Configuration
@EnableRedisHttpSession (1)
public class Config {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
}| 1 | @EnableRedisHttpSession 註解建立了一個名為 springSessionRepositoryFilter 的 Spring bean,它實現了 Filter 介面。該過濾器負責替換 HttpSession 實現,使其由 Spring Session 支援。在此示例中,Spring Session 由 Redis 支援。 |
| 2 | 我們建立了一個 RedisConnectionFactory,用於將 Spring Session 連線到 Redis 伺服器。我們將連線配置為連線到預設埠(6379)上的 localhost。有關配置 Spring Data Redis 的更多資訊,請參閱參考文件。 |
Servlet 容器初始化
我們的Spring 配置建立了一個名為 springSessionRepositoryFilter 的 Spring bean,它實現了 Filter 介面。springSessionRepositoryFilter bean 負責將 HttpSession 替換為由 Spring Session 支援的自定義實現。
為了讓我們的 Filter 發揮作用,Spring 需要載入我們的 Config 類。由於我們的應用程式已經使用 SecurityInitializer 類載入 Spring 配置,因此我們可以將我們的配置類新增到其中。以下示例展示瞭如何做到這一點
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, Config.class);
}
}最後,我們需要確保我們的 Servlet 容器(即 Tomcat)對每個請求都使用我們的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 在 Spring Security 的 springSecurityFilterChain 之前呼叫至關重要。這確保了 Spring Security 使用的 HttpSession 由 Spring Session 支援。幸運的是,Spring Session 提供了一個名為 AbstractHttpSessionApplicationInitializer 的實用程式類,可以輕鬆實現這一點。以下示例展示瞭如何做到這一點
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我們類的名稱(Initializer)無關緊要。重要的是我們擴充套件了 AbstractHttpSessionApplicationInitializer。 |
透過擴充套件 AbstractHttpSessionApplicationInitializer,我們確保名為 springSessionRepositoryFilter 的 Spring bean 在 Spring Security 的 springSecurityFilterChain 之前為每個請求註冊到我們的 Servlet 容器中。
security 示例應用程式
本節介紹如何使用 security 示例應用程式。
執行 security 示例應用程式
您可以透過獲取原始碼並呼叫以下命令來執行示例:
$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
要使示例正常工作,您必須在本地主機上安裝 Redis 2.8+ 並以預設埠(6379)執行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 伺服器。另一種選擇是使用 Docker 在本地主機上執行 Redis。有關詳細說明,請參閱Docker Redis 儲存庫。 |
您現在應該能夠透過 localhost:8080/ 訪問該應用程式
探索 security 示例應用程式
現在您可以使用該應用程式了。輸入以下內容登入
-
使用者名稱 user
-
密碼 password
現在單擊登入按鈕。您應該會看到一條訊息,指示您已使用之前輸入的使用者登入。使用者的資訊儲存在 Redis 而不是 Tomcat 的 HttpSession 實現中。
它是如何工作的?
我們不使用 Tomcat 的 HttpSession,而是將值持久化到 Redis 中。Spring Session 將 HttpSession 替換為由 Redis 支援的實現。當 Spring Security 的 SecurityContextPersistenceFilter 將 SecurityContext 儲存到 HttpSession 時,它會被持久化到 Redis 中。
當建立一個新的 HttpSession 時,Spring Session 會在您的瀏覽器中建立一個名為 SESSION 的 Cookie。該 Cookie 包含您會話的 ID。您可以使用 Chrome 或 Firefox 檢視 Cookie。
您可以使用 redis-cli 刪除會話。例如,在基於 Linux 的系統中,您可以鍵入以下命令
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文件有關於安裝 redis-cli 的說明。 |
或者,您也可以刪除顯式金鑰。在您的終端中輸入以下命令,務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION cookie 的值
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
現在您可以訪問應用程式 localhost:8080/ 並看到我們不再進行身份驗證。
