Spring Session 和 Spring Security
本指南介绍了如何将 Spring Session 与 Spring Security 结合使用。它假设您已经将 Spring Security 应用到您的应用程序中。
你可以在安全示例应用程序中找到完整的指南。
更新依赖项
在使用 Spring Session 之前,您必须更新依赖项。如果您使用 Maven,则必须添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.4.2</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.2.3</version>
</dependency>
</dependencies>
Spring 配置
在添加了所需的依赖项后,我们可以创建我们的Spring配置。Spring配置负责创建一个Servlet过滤器,该过滤器将HttpSession实现替换为由Spring Session支持的实现。为此,请添加以下Spring配置:
@Configuration
@EnableRedisHttpSession 1
public class Config {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); 2
}
}
@EnableRedisHttpSession注解创建了一个名为springSessionRepositoryFilter的 Spring bean,该 bean 实现了Filter。过滤器负责将HttpSession实现代替为由 Spring Session 支持的实现。在这种情况下,Spring Session 由 Redis 支持。我们创建了一个
RedisConnectionFactory,它将 Spring Session 连接到 Redis 服务器。我们配置连接以默认端口(6379)连接到本地主机。有关配置 Spring Data Redis 的更多信息,请参阅 参考文档。
Servlet 容器初始化
我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring bean,它实现了 Filter。springSessionRepositoryFilter bean 负责将 HttpSession 替换为由 Spring Session 支持的自定义实现。
为了让我们的 Filter 发挥作用,Spring 需要加载我们的 Config 类。由于我们的应用程序已经通过使用 SecurityInitializer 类加载了 Spring 配置,我们可以将我们的配置类添加到其中。以下示例展示了如何实现这一点:
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, Config.class);
}
}
最后,我们需要确保我们的 Servlet 容器(即 Tomcat)在每个请求中都使用我们的 springSessionRepositoryFilter。非常重要的一点是,Spring Session 的 springSessionRepositoryFilter 必须在 Spring Security 的 springSecurityFilterChain 之前被调用。这确保了 Spring Security 使用的 HttpSession 是由 Spring Session 支持的。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的工具类,使得这样做变得容易。以下示例展示了如何实现这一点:
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}
我们的类名(Initializer)并不重要。重要的是我们继承了 AbstractHttpSessionApplicationInitializer。
通过扩展 AbstractHttpSessionApplicationInitializer,我们确保名为 springSessionRepositoryFilter 的 Spring bean 在每次请求时都会在 Spring Security 的 springSecurityFilterChain 之前注册到我们的 Servlet 容器中。
security 示例应用程序
本节介绍如何使用 security 示例应用程序。
运行 security 示例应用程序
你可以通过获取源代码并运行以下命令来运行示例:
$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
为了让示例正常工作,你必须在本地主机安装 Redis 2.8+ 并使用默认端口(6379)运行它。或者,你可以更新 RedisConnectionFactory 以指向一个 Redis 服务器。另一个选项是使用 Docker 在本地主机上运行 Redis。有关详细说明,请参阅 Docker Redis 仓库。
你现在应该能够访问 localhost:8080/ 上的应用程序了。
探索 security 示例应用程序
现在您可以使用该应用程序了。输入以下信息以登录:
-
用户名 user
-
密码 password
现在点击 登录 按钮。你应该会看到一条消息,表明你已使用之前输入的用户登录。用户的信息存储在 Redis 中,而不是 Tomcat 的 HttpSession 实现中。
它是如何工作的?
我们不使用Tomcat的HttpSession,而是将值持久化在Redis中。Spring Session用一个由Redis支持的实现替换了HttpSession。当Spring Security的SecurityContextPersistenceFilter将SecurityContext保存到HttpSession时,它就会被持久化到Redis中。
您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统上,您可以输入以下命令:
$ redis-cli keys '*' | xargs redis-cli del
Redis 文档中有安装 redis-cli 的说明。
或者,你也可以删除显式的密钥。在终端中输入以下命令,并确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为你的 SESSION cookie 的值:
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在你可以访问 localhost:8080/,并看到我们不再处于认证状态。