Spring Session 和 Spring Security 与 Hazelcast 结合使用
本指南介绍了在使用 Hazelcast 作为数据存储时,如何将 Spring Session 与 Spring Security 一起使用。假设您已经将 Spring Security 应用到您的应用程序中。
你可以在Hazelcast Spring Security 示例应用程序中找到完整的指南。
更新依赖项
在使用 Spring Session 之前,您必须更新依赖项。如果您使用 Maven,则必须添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>com.hazelcast</groupId>
<artifactId>hazelcast</artifactId>
<version>5.4.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.3</version>
</dependency>
</dependencies>
Spring 配置
在添加了所需的依赖项之后,我们可以创建我们的Spring配置。Spring配置负责创建一个servlet过滤器,该过滤器将HttpSession实现替换为由Spring Session支持的实现。为此,请添加以下Spring配置:
@EnableHazelcastHttpSession 1
@Configuration
public class HazelcastHttpSessionConfig {
@Bean
public HazelcastInstance hazelcastInstance() {
Config config = new Config();
AttributeConfig attributeConfig = new AttributeConfig()
.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
.setExtractorClassName(PrincipalNameExtractor.class.getName());
config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) 2
.addAttributeConfig(attributeConfig)
.addIndexConfig(
new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
SerializerConfig serializerConfig = new SerializerConfig();
serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
config.getSerializationConfig().addSerializerConfig(serializerConfig); 3
return Hazelcast.newHazelcastInstance(config); 4
}
}
@EnableHazelcastHttpSession注解创建了一个名为springSessionRepositoryFilter的 Spring bean,该 bean 实现了Filter。此过滤器负责将HttpSession实现替换为由 Spring Session 支持的实现。在这种情况下,Spring Session 由 Hazelcast 支持。为了支持通过主体名称索引检索会话,需要注册一个适当的
ValueExtractor。Spring Session 提供了PrincipalNameExtractor用于此目的。为了高效地序列化
MapSession对象,需要注册HazelcastSessionSerializer。如果未设置此序列化器,Hazelcast 将使用原生 Java 序列化来序列化会话。我们创建了一个
HazelcastInstance,它将 Spring Session 连接到 Hazelcast。默认情况下,应用程序启动并连接到嵌入式的 Hazelcast 实例。有关配置 Hazelcast 的更多信息,请参阅 参考文档。
如果首选 HazelcastSessionSerializer,则需要在所有 Hazelcast 集群成员启动之前为其配置。在 Hazelcast 集群中,所有成员应使用相同的会话序列化方法。另外,如果使用 Hazelcast 客户端/服务器拓扑,则成员和客户端都必须使用相同的序列化方法。可以通过 ClientConfig 使用与成员相同的 SerializerConfiguration 来注册序列化器。
Servlet 容器初始化
我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring bean,它实现了 Filter。springSessionRepositoryFilter bean 负责用由 Spring Session 支持的自定义实现来替换 HttpSession。
为了让我们的 Filter 发挥作用,Spring 需要加载我们的 SessionConfig 类。由于我们的应用程序已经通过使用 SecurityInitializer 类加载了 Spring 配置,我们可以将 SessionConfig 类添加到其中。下面的清单展示了如何做到这一点:
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, SessionConfig.class);
}
}
最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。非常重要的一点是,Spring Session 的 springSessionRepositoryFilter 必须在 Spring Security 的 springSecurityFilterChain 之前被调用。这样做可以确保 Spring Security 使用的 HttpSession 是由 Spring Session 支持的。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的工具类,使得这样做变得简单。以下示例展示了如何实现这一点:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}
我们类的名称(Initializer)无关紧要。重要的是我们继承了 AbstractHttpSessionApplicationInitializer。
通过扩展 AbstractHttpSessionApplicationInitializer,我们确保名为 springSessionRepositoryFilter 的 Spring Bean 在每次请求时都在 Spring Security 的 springSecurityFilterChain 之前注册到我们的 servlet 容器中。
Hazelcast Spring Security 示例应用程序
本节介绍如何使用 Hazelcast Spring Security 示例应用程序。
运行示例应用程序
你可以通过获取源代码并运行以下命令来运行示例:
$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
默认情况下,Hazelcast 以嵌入模式与您的应用程序一起运行。但是,如果您想连接到独立实例,则可以通过遵循参考文档中的说明进行配置。
你现在应该能够访问 localhost:8080/ 上的应用程序了。
探索安全示例应用程序
你现在可以尝试使用该应用程序。为此,请输入以下内容进行登录:
-
用户名 user
-
密码 password
现在点击 登录 按钮。你应该会看到一条消息,表明你已使用先前输入的用户登录。用户的信息存储在Hazelcast中,而不是Tomcat的 HttpSession 实现中。
它是如何工作的?
而不是使用 Tomcat 的 HttpSession,我们将值持久化在 Hazelcast 中。Spring Session 用一个由 Hazelcast 中的 Map 支持的实现替换了 HttpSession。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 时,它就会被持久化到 Hazelcast 中。
与数据存储交互
使用控制台
例如,连接到你的 Hazelcast 节点后,要使用管理控制台删除会话,请运行以下命令:
default> ns spring:session:sessions
spring:session:sessions> m.clear
Hazelcast 文档提供了控制台的使用说明。
或者,你也可以删除显式的密钥。在控制台中输入以下内容,并确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为你的 SESSION cookie 的值:
spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在访问 localhost:8080/ 应用程序,观察我们不再被认证。
使用 REST API
如文档中介绍其他客户端的部分所述,Hazelcast 节点提供了 REST API。
例如,你可以删除单个密钥,如下所示(请确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为你的 SESSION cookie 的值):
$ curl -v -X DELETE http://localhost:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 节点的端口号在启动时会打印到控制台。请将 xxxxx 替换为该端口号。
现在你可以看到你在这个会话中已经不再通过身份验证。