此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Session 3.4.0spring-doc.cn

Spring Session 和 Spring Security

本指南描述了如何将 Spring Session 与 Spring Security 一起使用。 它假定您已经将 Spring Security 应用于您的应用程序。spring-doc.cn

您可以在安全示例应用程序中找到完整的指南。

更新依赖项

在使用 Spring Session 之前,您必须更新依赖项。 如果您使用 Maven,则必须添加以下依赖项:spring-doc.cn

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>org.springframework.session</groupId>
		<artifactId>spring-session-data-redis</artifactId>
		<version>3.4.1-SNAPSHOT</version>
		<type>pom</type>
	</dependency>
	<dependency>
		<groupId>io.lettuce</groupId>
		<artifactId>lettuce-core</artifactId>
		<version>6.3.2.RELEASE</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.2.0</version>
	</dependency>
</dependencies>

Spring 配置

添加所需的依赖项后,我们可以创建 Spring 配置。 Spring 配置负责创建一个 servlet 过滤器,该过滤器将实现替换为 Spring Session 支持的实现。 为此,请添加以下 Spring Configuration:HttpSessionspring-doc.cn

@Configuration
@EnableRedisHttpSession (1)
public class Config {

	@Bean
	public LettuceConnectionFactory connectionFactory() {
		return new LettuceConnectionFactory(); (2)
	}

}
1 该注释创建一个名为 implements 的 Spring bean。 过滤器负责替换 Spring Session 支持的实现。 在这种情况下,Spring Session 由 Redis 提供支持。@EnableRedisHttpSessionspringSessionRepositoryFilterFilterHttpSession
2 我们创建一个将 Spring Session 连接到 Redis 服务器。 我们将连接配置为连接到默认端口上的 localhost (6379) 有关配置 Spring Data Redis 的更多信息,请参阅参考文档RedisConnectionFactory

Servlet 容器初始化

我们的 Spring 配置创建了一个名为 的 Spring Bean,它实现了 . 该 bean 负责将 替换为由 Spring Session 支持的自定义实现。springSessionRepositoryFilterFilterspringSessionRepositoryFilterHttpSessionspring-doc.cn

为了让我们发挥它的魔力, Spring 需要加载我们的 class。 由于我们的应用程序已经使用我们的类加载了 Spring 配置,因此我们可以将我们的配置类添加到其中。 以下示例显示了如何执行此操作:FilterConfigSecurityInitializerspring-doc.cn

src/main/java/sample/SecurityInitializer.java
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {

	public SecurityInitializer() {
		super(SecurityConfig.class, Config.class);
	}

}

最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的容器。 在 Spring Security 之前调用 Spring Session 非常重要。 这确保了 Spring Security 使用的由 Spring Session 支持。 幸运的是,Spring Session 提供了一个名为 的 Util 类,它使操作变得容易。 以下示例显示了如何执行此操作:springSessionRepositoryFilterspringSessionRepositoryFilterspringSecurityFilterChainHttpSessionAbstractHttpSessionApplicationInitializerspring-doc.cn

来源/main/java/sample/Initializer.java
public class Initializer extends AbstractHttpSessionApplicationInitializer {

}
我们的类 (Initializer) 的名称无关紧要。重要的是,我们将 .AbstractHttpSessionApplicationInitializer

通过扩展 ,我们确保在 Spring Security 的每个请求之前,将名为 Spring Bean 的 Spring bean 注册到我们的 Servlet 容器中。AbstractHttpSessionApplicationInitializerspringSessionRepositoryFilterspringSecurityFilterChainspring-doc.cn

security示例应用程序

本节介绍如何使用示例应用程序。securityspring-doc.cn

运行示例应用程序security

您可以通过获取源码并调用以下命令来运行该示例:spring-doc.cn

$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
要使该示例正常工作,您必须在 localhost 上安装 Redis 2.8+,并使用默认端口 (6379) 运行它。 或者,您也可以将 to 更新为 指向 Redis 服务器。 另一种选择是使用 Docker 在本地主机上运行 Redis。 有关详细说明,请参阅 Docker Redis 存储库RedisConnectionFactory

您现在应该能够访问 localhost:8080/ 中的应用程序spring-doc.cn

探索示例应用程序security

现在您可以使用该应用程序。输入以下内容以登录:spring-doc.cn

现在单击 Login 按钮。 您现在应该会看到一条消息,指示您已使用之前输入的用户登录。 用户的信息存储在 Redis 中,而不是 Tomcat 的实现中。HttpSessionspring-doc.cn

它是如何工作的?

我们没有使用 Tomcat 的 ,而是将值保存在 Redis 中。 Spring Session 将 替换为 Redis 支持的实现。 当 Spring Security 将 保存到 时,它会持久化到 Redis 中。HttpSessionHttpSessionSecurityContextPersistenceFilterSecurityContextHttpSessionspring-doc.cn

当一个新的被创建时, Spring Session 会创建一个在你的浏览器中命名的 cookie。 该 Cookie 包含会话的 ID。 您可以查看 Cookie(使用 ChromeFirefox)。HttpSessionSESSIONspring-doc.cn

您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统上,您可以键入以下命令:spring-doc.cn

	$ redis-cli keys '*' | xargs redis-cli del
Redis 文档包含安装 redis-cli 的说明。

或者,您也可以删除显式密钥。 在终端中输入以下命令,确保替换为 cookie 的值:7e8383a4-082c-4ffe-a4bc-c40fd3363c5eSESSIONspring-doc.cn

$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

现在,您可以在 localhost:8080/ 上访问应用程序,并看到我们不再经过身份验证。spring-doc.cn