对于最新的稳定版本,请使用 Spring Session 3.4.0spring-doc.cn

使用 Hazelcast 的 Spring Session 和 Spring Security

本指南介绍了在使用 Hazelcast 作为数据存储时,如何将 Spring Session 与 Spring Security 一起使用。 它假定您已经将 Spring Security 应用于您的应用程序。spring-doc.cn

您可以在 Hazelcast Spring Security 示例应用程序中找到完整的指南。

更新依赖项

在使用 Spring Session 之前,您必须更新依赖项。 如果您使用 Maven,则必须添加以下依赖项:spring-doc.cn

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>com.hazelcast</groupId>
		<artifactId>hazelcast</artifactId>
		<version>5.1.4</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.0.13</version>
	</dependency>
</dependencies>

Spring 配置

添加所需的依赖项后,我们可以创建 Spring 配置。 Spring 配置负责创建一个 servlet 过滤器,该过滤器将实现替换为 Spring Session 支持的实现。 为此,请添加以下 Spring Configuration:HttpSessionspring-doc.cn

@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {

	@Bean
	public HazelcastInstance hazelcastInstance() {
		Config config = new Config();
		AttributeConfig attributeConfig = new AttributeConfig()
				.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
				.setExtractorClassName(PrincipalNameExtractor.class.getName());
		config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
				.addAttributeConfig(attributeConfig).addIndexConfig(
						new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
		SerializerConfig serializerConfig = new SerializerConfig();
		serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
		config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
		return Hazelcast.newHazelcastInstance(config); (4)
	}

}
1 该注释将创建一个名为 的 Spring Bean,该 Bean 实现 . 过滤器负责替换 Spring Session 支持的实现。 在这种情况下,Spring Session 由 Hazelcast 提供支持。@EnableHazelcastHttpSessionspringSessionRepositoryFilterFilterHttpSession
2 为了支持按主体名称索引检索会话,需要注册相应的会话。 Spring Session 为此提供了。ValueExtractorPrincipalNameExtractor
3 为了有效地序列化对象,需要注册。如果此 未设置,则 Hazelcast 将使用本机 Java 序列化序列化会话。MapSessionHazelcastSessionSerializer
4 我们创建了一个将 Spring Session 连接到 Hazelcast 的 IP 文件。 默认情况下,应用程序启动并连接到 Hazelcast 的嵌入式实例。 有关配置 Hazelcast 的更多信息,请参阅参考文档HazelcastInstance
如果首选,则需要在开始之前为所有 Hazelcast 集群成员配置它。 在 Hazelcast 集群中,所有成员都应为会话使用相同的序列化方法。此外,如果 Hazelcast 客户端/服务器拓扑 ,则成员和客户端都必须使用相同的序列化方法。序列化程序可以通过 with same of members 进行注册。HazelcastSessionSerializerClientConfigSerializerConfiguration

Servlet 容器初始化

我们的 Spring 配置创建了一个名为 的 Spring Bean,它实现了 . 该 bean 负责将 替换为由 Spring Session 支持的自定义实现。springSessionRepositoryFilterFilterspringSessionRepositoryFilterHttpSessionspring-doc.cn

为了让我们发挥它的魔力, Spring 需要加载我们的 class。 由于我们的应用程序已经使用我们的类加载了 Spring 配置,因此我们可以将我们的类添加到其中。 下面的清单显示了如何做到这一点:FilterSessionConfigSecurityInitializerSessionConfigspring-doc.cn

src/main/java/sample/SecurityInitializer.java
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {

	public SecurityInitializer() {
		super(SecurityConfig.class, SessionConfig.class);
	}

}

最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的容器。 在 Spring Security 之前调用 Spring Session 非常重要。 这样做可以确保 Spring Security 使用的由 Spring Session 支持。 幸运的是,Spring Session 提供了一个名为 的 Util 类,它使这项工作变得容易。 以下示例显示了如何执行此操作:springSessionRepositoryFilterspringSessionRepositoryFilterspringSecurityFilterChainHttpSessionAbstractHttpSessionApplicationInitializerspring-doc.cn

来源/main/java/sample/Initializer.java
public class Initializer extends AbstractHttpSessionApplicationInitializer {

}
类的名称 () 无关紧要。重要的是,我们将 .InitializerAbstractHttpSessionApplicationInitializer

通过扩展 ,我们确保在 Spring Security 之前的每个请求中都向 Spring Bean 命名的 Spring Bean 注册到我们的 servlet 容器中。AbstractHttpSessionApplicationInitializerspringSessionRepositoryFilterspringSecurityFilterChainspring-doc.cn

Hazelcast Spring Security 示例应用程序

本节介绍如何使用 Hazelcast Spring Security 示例应用程序。spring-doc.cn

运行示例应用程序

您可以通过获取源码并调用以下命令来运行该示例:spring-doc.cn

$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
默认情况下,Hazelcast 以嵌入式模式运行您的应用程序。 但是,如果您想改为连接到独立实例,则可以按照参考文档中的说明对其进行配置。

您现在应该能够访问 localhost:8080/ 中的应用程序spring-doc.cn

探索安全性示例应用程序

您现在可以尝试使用该应用程序。 为此,请输入以下内容以登录:spring-doc.cn

现在单击 Login 按钮。 您现在应该会看到一条消息,指示您已使用之前输入的用户登录。 用户的信息存储在 Hazelcast 中,而不是 Tomcat 的实现中。HttpSessionspring-doc.cn

它是如何工作的?

我们不是使用 Tomcat 的,而是将值保存在 Hazelcast 中。 Spring Session 将 替换为 Hazelcast 中由 a 支持的实现。 当 Spring Security 将 保存到 时,它会持久化到 Hazelcast 中。HttpSessionHttpSessionMapSecurityContextPersistenceFilterSecurityContextHttpSessionspring-doc.cn

当一个新的被创建时, Spring Session 会创建一个在你的浏览器中命名的 cookie。该 Cookie 包含会话的 ID。 您可以查看 Cookie(使用 ChromeFirefox)。HttpSessionSESSIONspring-doc.cn

与 Data Store 交互

您可以使用 Java 客户端其他客户端之一管理中心 删除会话。spring-doc.cn

使用控制台

例如,要在连接到 Hazelcast 节点后使用 管理中心 控制台删除会话,请运行以下命令:spring-doc.cn

	default> ns spring:session:sessions
	spring:session:sessions> m.clear
Hazelcast 文档包含控制台的说明

或者,您也可以删除显式密钥。在控制台中输入以下内容,并确保替换为您的 Cookie 的值:7e8383a4-082c-4ffe-a4bc-c40fd3363c5eSESSIONspring-doc.cn

	spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

现在访问 localhost:8080/ 上的应用程序,并观察我们不再经过身份验证。spring-doc.cn

使用 REST API

如文档中涵盖其他客户端的部分所述,Hazelcast 节点提供了一个 REST APIspring-doc.cn

例如,您可以按如下方式删除单个键(请务必替换为 SESSION Cookie 的值):7e8383a4-082c-4ffe-a4bc-c40fd3363c5espring-doc.cn

	$ curl -v -X DELETE http://localhost:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 节点的端口号在启动时打印到控制台。替换为端口号。xxxxx

现在,您可以看到您不再通过此会话进行身份验证。spring-doc.cn