对于最新的稳定版本,请使用 Spring Session 3.4.0spring-doc.cn

常见配置

本节包含适用于所有或大多数 Spring Session 模块的常见配置。 它包含以下使用案例的配置示例:spring-doc.cn

更改会话 ID 的生成方式

默认情况下, Spring Session 使用 that,而 a 又使用 a 来生成会话 ID。 在某些情况下,最好包含其他字符以增加熵,或者您可能希望使用不同的算法来生成会话 ID。 要更改此设置,您可以提供自定义 bean:UuidSessionIdGeneratorjava.util.UUIDSessionIdGeneratorspring-doc.cn

更改会话 ID 的生成方式
@Bean
public SessionIdGenerator sessionIdGenerator() {
    return new MySessionIdGenerator();
}

class MySessionIdGenerator implements SessionIdGenerator {

    @Override
    public String generate() {
        // ...
    }

}

暴露你的 bean 后, Spring Session 将使用它来生成会话 ID。SessionIdGeneratorspring-doc.cn

如果你正在手动配置你的 bean(而不是使用 ,例如),你可以直接在实现上设置 the:SessionRepository@EnableRedisHttpSessionSessionIdGeneratorSessionRepositoryspring-doc.cn

直接设置到实现中SessionIdGeneratorSessionRepository
@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
    RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
    repository.setSessionIdGenerator(new MySessionIdGenerator());
    return repository;
}

设置 Spring Session 后,您可以通过将 a 公开为 Spring bean 来自定义会话 cookie 的编写方式。 Spring Session 附带 。 当您使用 . 下面的示例展示了如何自定义 Spring Session 的 cookie:CookieSerializerDefaultCookieSerializerDefaultCookieSerializer@EnableRedisHttpSessionspring-doc.cn

	@Bean
	public CookieSerializer cookieSerializer() {
		DefaultCookieSerializer serializer = new DefaultCookieSerializer();
		serializer.setCookieName("JSESSIONID"); (1)
		serializer.setCookiePath("/"); (2)
		serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
		return serializer;
	}
1 我们将 Cookie 的名称自定义为 。JSESSIONID
2 我们将 cookie 的路径自定义为 be(而不是上下文根的默认值)。/
3 我们将域名模式(正则表达式)自定义为 . 这允许跨域和应用程序共享会话。 如果正则表达式不匹配,则不设置域,并使用现有域。 如果正则表达式匹配,则第一个分组将用作域。 这意味着对 child.example.com 的请求会将域设置为 . 但是,对 localhost:8080/192.168.1.100:8080/ 的请求会取消设置 cookie,因此,它仍然可以在开发中工作,而无需进行任何生产更改。^.?\\.(\\w\\.[a-z]+)$example.com
您只应匹配有效的域字符,因为域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。

以下配置选项可用:spring-doc.cn

  • cookieName:要使用的 Cookie 的名称。 违约:。SESSIONspring-doc.cn

  • useSecureCookie:指定是否应使用安全 Cookie。 Default:使用 at the time of creation 的值。HttpServletRequest.isSecure()spring-doc.cn

  • cookiePath:Cookie 的路径。 Default:上下文根。spring-doc.cn

  • cookieMaxAge:指定在创建会话时要设置的 Cookie 的最长期限。 Default: ,这表示在浏览器关闭时应删除 Cookie。-1spring-doc.cn

  • jvmRoute:指定要附加到会话 ID 并包含在 Cookie 中的后缀。 用于标识要路由到哪个 JVM 以实现会话关联性。 对于某些实现(即 Redis),此选项不会提供任何性能优势。 但是,它可以帮助跟踪特定用户的日志。spring-doc.cn

  • domainName:允许指定要用于 Cookie 的特定域名。 此选项易于理解,但通常需要在开发和生产环境之间使用不同的配置。 请参阅 作为替代项。domainNamePatternspring-doc.cn

  • domainNamePattern:一种不区分大小写的模式,用于从 中提取域名。 该模式应提供用于提取 Cookie 域值的单个分组。 如果正则表达式不匹配,则不设置域,并使用现有域。 如果正则表达式匹配,则第一个分组将用作域。HttpServletRequest#getServerName()spring-doc.cn

  • sameSite:cookie 指令的值。 要禁用 cookie 指令的序列化,可以将此值设置为 。 违约:SameSiteSameSitenullLaxspring-doc.cn

  • rememberMeRequestAttribute:指示 remember-me 登录的请求属性名称。 如果指定,则 Cookie 将写入 。Integer.MAX_VALUEspring-doc.cn

如果你正在使用并且正在声明一个自定义 bean,你应该设置该字段以确保 Spring Session 依赖于会话过期而不是 cookie 过期。 为此,您可以使用以下代码片段:SpringSessionRememberMeServicesDefaultCookieSerializerrememberMeRequestAttributedefaultCookieSerializer.setRememberMeRequestAttribute(SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);spring-doc.cn

您可以通过将 a 公开为 Spring bean 来自定义会话 cookie 在 WebFlux 应用程序中的写入方式。 Spring Session 默认使用 a. 下面的示例展示了如何自定义 Spring Session 的 cookie:WebSessionIdResolverCookieWebSessionIdResolverspring-doc.cn

	@Bean
	public WebSessionIdResolver webSessionIdResolver() {
		CookieWebSessionIdResolver resolver = new CookieWebSessionIdResolver();
		resolver.setCookieName("JSESSIONID"); (1)
		resolver.addCookieInitializer((builder) -> builder.path("/")); (2)
		resolver.addCookieInitializer((builder) -> builder.sameSite("Strict")); (3)
		return resolver;
	}
1 我们将 Cookie 的名称自定义为 。JSESSIONID
2 我们将 cookie 的路径自定义为 be(而不是上下文根的默认值)。/
3 我们将 cookie 指令自定义为 .SameSiteStrict