对于最新的稳定版本,请使用 Spring Session 3.4.0spring-doc.cn

Spring Session - REST

本指南介绍了在使用 REST 端点时,如何使用 Spring Session 透明地利用 Redis 来支持 Web 应用程序。HttpSessionspring-doc.cn

您可以在 rest 示例应用程序中找到完整的指南。

更新依赖项

在使用 Spring Session 之前,您必须更新依赖项。 如果您使用 Maven,则必须添加以下依赖项:spring-doc.cn

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>org.springframework.session</groupId>
		<artifactId>spring-session-data-redis</artifactId>
		<version>3.2.6</version>
		<type>pom</type>
	</dependency>
	<dependency>
		<groupId>io.lettuce</groupId>
		<artifactId>lettuce-core</artifactId>
		<version>6.2.7.RELEASE</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.1.13</version>
	</dependency>
</dependencies>

Spring 配置

添加所需的依赖项后,我们可以创建 Spring 配置。 Spring 配置负责创建一个 servlet 过滤器,该过滤器将实现替换为 Spring Session 支持的实现。 为此,请添加以下 Spring Configuration:HttpSessionspring-doc.cn

@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {

	@Bean
	public LettuceConnectionFactory connectionFactory() {
		return new LettuceConnectionFactory(); (2)
	}

	@Bean
	public HttpSessionIdResolver httpSessionIdResolver() {
		return HeaderHttpSessionIdResolver.xAuthToken(); (3)
	}

}
1 该注释将创建一个名为 的 Spring Bean,该 Bean 实现 . 过滤器负责替换 Spring Session 支持的实现。 在这种情况下, Spring Session 由 Redis 提供支持。@EnableRedisHttpSessionspringSessionRepositoryFilterFilterHttpSession
2 我们创建一个将 Spring Session 连接到 Redis 服务器。 我们将连接配置为连接到默认端口 (6379) 上的 localhost。 有关配置 Spring Data Redis 的更多信息,请参阅参考文档RedisConnectionFactory
3 我们自定义 Spring Session 的 HttpSession 集成,以使用 HTTP 标头而不是 cookie 来传达当前会话信息。

Servlet 容器初始化

我们的 Spring 配置创建了一个名为 的 Spring Bean,它实现了 . 该 bean 负责将 替换为由 Spring Session 支持的自定义实现。springSessionRepositoryFilterFilterspringSessionRepositoryFilterHttpSessionspring-doc.cn

为了让我们发挥它的魔力, Spring 需要加载我们的 class。 我们在 Spring 中提供配置,如下例所示:FilterConfigMvcInitializerspring-doc.cn

来源/main/java/sample/mvc/MvcInitializer.java
@Override
protected Class<?>[] getRootConfigClasses() {
	return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}

最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的容器。 幸运的是,Spring Session 提供了一个名为 的 Util 类,它使操作变得容易。为此,请使用 default 构造函数扩展类,如下例所示:springSessionRepositoryFilterAbstractHttpSessionApplicationInitializerspring-doc.cn

来源/main/java/sample/Initializer.java
public class Initializer extends AbstractHttpSessionApplicationInitializer {

}
类的名称 () 无关紧要。重要的是,我们将 .InitializerAbstractHttpSessionApplicationInitializer

rest示例应用程序

本节介绍如何使用示例应用程序。restspring-doc.cn

运行示例应用程序rest

您可以通过获取源码并调用以下命令来运行该示例:spring-doc.cn

要使该示例正常工作,您必须在 localhost 上安装 Redis 2.8+,并使用默认端口 (6379) 运行它。 或者,您也可以将 to 更新为 指向 Redis 服务器。 另一种选择是使用 Docker 在本地主机上运行 Redis。 有关详细说明,请参阅 Docker Redis 存储库RedisConnectionFactory 
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun

您现在应该能够访问 localhost:8080/ 中的应用程序spring-doc.cn

探索示例应用程序rest

您现在可以尝试使用该应用程序。为此,请使用您最喜欢的 REST 客户端请求 localhost:8080/spring-doc.cn

	$ curl -v http://localhost:8080/

请注意,系统会提示您进行基本身份验证。为用户名和密码提供以下信息:spring-doc.cn

然后运行以下命令:spring-doc.cn

$ curl -v http://localhost:8080/ -u user:password

在输出中,您应该注意到以下内容:spring-doc.cn

HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3

{"username":"user"}

具体而言,您应该注意有关我们的响应的以下事项:spring-doc.cn

  • HTTP Status (HTTP 状态) 现在为 200。spring-doc.cn

  • 我们有一个标题 a 的名称 ,其中包含一个新的会话 ID。X-Auth-Tokenspring-doc.cn

  • 此时将显示当前用户名。spring-doc.cn

现在,我们可以使用 来发出另一个请求,而无需再次提供用户名和密码。例如,以下命令输出 username,如前所述:X-Auth-Tokenspring-doc.cn

	$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"

唯一的区别是,响应标头中未提供会话 ID,因为我们正在重用现有会话。spring-doc.cn

如果使会话失效,则响应中将显示为空值。例如,以下命令使我们的会话无效:X-Auth-Tokenspring-doc.cn

	$ curl -v http://localhost:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"

您可以在输出中看到 the 提供了一个空,指示上一个会话已失效:X-Auth-TokenStringspring-doc.cn

HTTP/1.1 204 No Content
...
X-Auth-Token:

它是如何工作的?

Spring Security 与 中的标准进行交互。HttpSessionSecurityContextPersistenceFilterspring-doc.cn

Spring Security 现在不再使用 Tomcat 的,而是将值保存在 Redis 中。 Spring Session 会在浏览器中创建一个名为 Headers 的 Header。 该标头包含会话的 ID。HttpSessionX-Auth-Tokenspring-doc.cn

如果您愿意,可以很容易地看到会话是在 Redis 中创建的。 为此,请使用以下命令创建会话:spring-doc.cn

$ curl -v http://localhost:8080/ -u user:password

在输出中,您应该注意到以下内容:spring-doc.cn

HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

{"username":"user"}

现在,您可以使用 redis-cli 删除会话。 例如,在基于 Linux 的系统上,您可以键入:spring-doc.cn

	$ redis-cli keys '*' | xargs redis-cli del
Redis 文档包含安装 redis-cli 的说明。

或者,您也可以删除显式密钥。 为此,请在您的终端中输入以下内容,并确保替换为您的 cookie 的值:7e8383a4-082c-4ffe-a4bc-c40fd3363c5eSESSIONspring-doc.cn

	$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

现在,我们可以使用 对已删除的会话发出另一个请求,并观察系统提示我们进行身份验证的情况。例如,以下返回 HTTP 401:X-Auth-Tokenspring-doc.cn

	$ curl -v http://localhost:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"