常见配置
本节包含适用于所有或大多数Spring Session模块的常见配置。它包含以下用例的配置示例:
更改会话 ID 的生成方式
默认情况下,Spring Session 使用 UuidSessionIdGenerator,它又使用 java.util.UUID 来生成会话 ID。在某些情况下,可能需要包含其他字符以增加熵,或者你可能希望使用不同的算法来生成会话 ID。要更改这一点,你可以提供一个自定义的 SessionIdGenerator bean:
- Java
@Bean
public SessionIdGenerator sessionIdGenerator() {
return new MySessionIdGenerator();
}
class MySessionIdGenerator implements SessionIdGenerator {
@Override
public String generate() {
// ...
}
}
在暴露了你的 SessionIdGenerator bean 之后,Spring Session 将会使用它来生成 session id。
如果你手动配置 SessionRepository bean(而不是使用 @EnableRedisHttpSession,例如),你可以直接在 SessionRepository 实现上设置 SessionIdGenerator:
- Java
@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
repository.setSessionIdGenerator(new MySessionIdGenerator());
return repository;
}
自定义会话 Cookie
一旦你设置好了 Spring Session,你可以通过将 CookieSerializer 作为 Spring bean 暴露出来来自定义会话 cookie 的写入方式。Spring Session 提供了 DefaultCookieSerializer。当你使用像 @EnableRedisHttpSession 这样的配置时,将 DefaultCookieSerializer 作为 Spring bean 暴露出来会增强现有的配置。下面的示例展示了如何自定义 Spring Session 的 cookie:
@Bean
public CookieSerializer cookieSerializer() {
DefaultCookieSerializer serializer = new DefaultCookieSerializer();
serializer.setCookieName("JSESSIONID"); 1
serializer.setCookiePath("/"); 2
serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); 3
return serializer;
}
我们将 cookie 的名称自定义为
JSESSIONID。我们将 cookie 的路径自定义为
/(而不是默认的上下文根)。我们将域名模式(一个正则表达式)自定义为
^.?\\.(\\w\\.[a-z]+)$。这允许跨域和应用程序共享会话。如果正则表达式不匹配,则不会设置任何域名,并使用现有域名。如果正则表达式匹配,则使用第一个分组作为域名。这意味着对 child.example.com 的请求会将域名设置为example.com。但是,对 localhost:8080/ 或 192.168.1.100:8080/ 的请求不会设置 cookie,因此在开发环境中仍然有效,而无需在生产环境中进行任何更改。
您应该仅匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户执行诸如HTTP 响应拆分之类的攻击。
配置选项
以下配置选项可用:
-
cookieName: 要使用的 cookie 的名称。默认值:SESSION。 -
useSecureCookie: 指定是否应使用安全的 cookie。默认值:使用创建时HttpServletRequest.isSecure()的值。 -
cookiePath: cookie 的路径。默认值:上下文根。 -
cookieMaxAge: 指定在创建会话时设置的 cookie 的最大存活时间。默认值:-1,表示浏览器关闭时删除 cookie。 -
jvmRoute: 指定要附加到会话 ID 并包含在 cookie 中的后缀。用于标识会话亲和性路由到哪个 JVM。对于某些实现(例如 Redis),此选项不会提供性能优势。但是,它可以帮助追踪特定用户的日志。 -
domainName: 允许指定用于 cookie 的特定域名。此选项易于理解,但通常需要在开发环境和生产环境之间进行不同的配置。请参阅domainNamePattern作为替代方案。 -
domainNamePattern: 一个不区分大小写的模式,用于从HttpServletRequest#getServerName()中提取域名。该模式应提供一个用于提取 cookie 域值的单一分组。如果正则表达式不匹配,则不设置域并使用现有域。如果正则表达式匹配,则使用第一个分组作为域。 -
sameSite:SameSitecookie 指令的值。要禁用SameSitecookie 指令的序列化,可以将此值设置为null。默认值:Lax -
rememberMeRequestAttribute: 表示记住我登录的请求属性名称。如果指定了该属性,cookie 将被写入Integer.MAX_VALUE。
如果你正在使用 SpringSessionRememberMeServices 并且声明了一个自定义的 DefaultCookieSerializer bean,你应该设置 rememberMeRequestAttribute 字段以确保 Spring Session 依赖于会话过期而不是 cookie 过期。为此,你可以使用以下代码片段:defaultCookieSerializer.setRememberMeRequestAttribute(SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);
自定义 Cookie 在 WebFlux 中
您可以通过将 WebSessionIdResolver 作为 Spring bean 暴露出来来自定义 WebFlux 应用程序中会话 cookie 的写入方式。Spring Session 默认使用 CookieWebSessionIdResolver。以下示例展示了如何自定义 Spring Session 的 cookie:
@Bean
public WebSessionIdResolver webSessionIdResolver() {
CookieWebSessionIdResolver resolver = new CookieWebSessionIdResolver();
resolver.setCookieName("JSESSIONID"); 1
resolver.addCookieInitializer((builder) -> builder.path("/")); 2
resolver.addCookieInitializer((builder) -> builder.sameSite("Strict")); 3
return resolver;
}
我们将 cookie 的名称自定义为
JSESSIONID。我们将 cookie 的路径自定义为
/(而不是默认的上下文根)。我们将
SameSitecookie 指令自定义为Strict。
提供 ReactiveSessionRegistry 的 Spring Session 实现
Spring Session 提供了与 Spring Security 的集成,以支持其反应式并发会话控制。这允许限制单个用户可以同时拥有的活动会话数量,但与默认的 Spring Security 支持不同,这在集群环境中也可以工作。这是通过提供 SpringSessionBackedReactiveSessionRegistry 实现 Spring Security 的 ReactiveSessionRegistry 接口来完成的。
- Java
@Bean
public <S extends Session> SpringSessionBackedReactiveSessionRegistry<S> sessionRegistry(
ReactiveSessionRepository<S> sessionRepository,
ReactiveFindByIndexNameSessionRepository<S> indexedSessionRepository) {
return new SpringSessionBackedReactiveSessionRegistry<>(sessionRepository, indexedSessionRepository);
}
请参阅 Spring Security 并发会话控制文档,以了解更多使用 ReactiveSessionRegistry 的方法。您还可以在此处查看示例应用程序:这里。