Spring Session 和 Spring Security 與 Hazelcast

本指南說明當您使用 Hazelcast 作為資料儲存區時，如何搭配 Spring Session 和 Spring Security。它假設您已將 Spring Security 應用於您的應用程式。

您可以在 Hazelcast Spring Security 範例應用程式中找到完整的指南。

更新相依性

在使用 Spring Session 之前，您必須更新您的相依性。如果您使用 Maven，您必須新增以下相依性

pom.xml

<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>com.hazelcast</groupId>
		<artifactId>hazelcast</artifactId>
		<version>5.4.0</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.1.14</version>
	</dependency>
</dependencies>

Spring 配置

新增所需的相依性之後，我們可以建立我們的 Spring 配置。Spring 配置負責建立一個 servlet 篩選器，以 Spring Session 支援的實作取代 HttpSession 實作。若要執行此操作，請新增下列 Spring 配置

@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {

	@Bean
	public HazelcastInstance hazelcastInstance() {
		Config config = new Config();
		AttributeConfig attributeConfig = new AttributeConfig()
			.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
			.setExtractorClassName(PrincipalNameExtractor.class.getName());
		config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
			.addAttributeConfig(attributeConfig)
			.addIndexConfig(
					new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
		SerializerConfig serializerConfig = new SerializerConfig();
		serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
		config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
		return Hazelcast.newHazelcastInstance(config); (4)
	}

}

1	`@EnableHazelcastHttpSession` 註解建立一個名為 `springSessionRepositoryFilter` 的 Spring Bean，它實作 `Filter`。此篩選器負責取代 `HttpSession` 實作，使其由 Spring Session 支援。在此範例中，Spring Session 由 Hazelcast 支援。
2	為了支援依據主要名稱索引檢索 session，需要註冊適當的 `ValueExtractor`。Spring Session 為此目的提供了 `PrincipalNameExtractor`。
3	為了有效地序列化 `MapSession` 物件，需要註冊 `HazelcastSessionSerializer`。如果未設定此項，Hazelcast 將使用原生 Java 序列化來序列化 session。
4	我們建立一個 `HazelcastInstance`，將 Spring Session 連接到 Hazelcast。依預設，應用程式會啟動並連接到 Hazelcast 的嵌入式執行個體。如需配置 Hazelcast 的更多資訊，請參閱參考文件。

如果偏好使用 HazelcastSessionSerializer，則需要在所有 Hazelcast 叢集成員啟動之前為其配置。在 Hazelcast 叢集中，所有成員都應對 session 使用相同的序列化方法。此外，如果使用 Hazelcast Client/Server 拓撲，則成員和用戶端都必須使用相同的序列化方法。可以使用成員的相同 SerializerConfiguration，透過 ClientConfig 註冊序列化器。

Servlet 容器初始化

我們的 Spring 配置建立了一個名為 springSessionRepositoryFilter 的 Spring Bean，它實作 Filter。springSessionRepositoryFilter Bean 負責將 HttpSession 替換為由 Spring Session 支援的自訂實作。

為了讓我們的 Filter 發揮作用，Spring 需要載入我們的 SessionConfig 類別。由於我們的應用程式已透過使用我們的 SecurityInitializer 類別載入 Spring 配置，我們可以將我們的 SessionConfig 類別新增至其中。以下清單顯示如何執行此操作

src/main/java/sample/SecurityInitializer.java

public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {

	public SecurityInitializer() {
		super(SecurityConfig.class, SessionConfig.class);
	}

}

最後，我們需要確保我們的 Servlet 容器 (即 Tomcat) 為每個請求使用我們的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 在 Spring Security 的 springSecurityFilterChain 之前調用至關重要。這樣做可確保 Spring Security 使用的 HttpSession 由 Spring Session 支援。幸運的是，Spring Session 提供了一個名為 AbstractHttpSessionApplicationInitializer 的公用程式類別，使執行此操作變得容易。以下範例顯示如何執行此操作

src/main/java/sample/Initializer.java

public class Initializer extends AbstractHttpSessionApplicationInitializer {

}

我們的類別名稱 (Initializer) 並不重要。重要的是我們擴展了 AbstractHttpSessionApplicationInitializer。

透過擴展 AbstractHttpSessionApplicationInitializer，我們確保名為 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前，針對每個請求向我們的 servlet 容器註冊。

Hazelcast Spring Security 範例應用程式

本節說明如何使用 Hazelcast Spring Security 範例應用程式。

執行範例應用程式

您可以透過取得原始碼並調用以下命令來執行範例

$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun

依預設，Hazelcast 在嵌入式模式下與您的應用程式一起執行。但是，如果您想連接到獨立執行個體，您可以按照參考文件中的說明進行配置。

您現在應該能夠在 localhost:8080/ 存取應用程式

探索 Security 範例應用程式

您現在可以嘗試使用該應用程式。若要執行此操作，請輸入以下內容以登入

使用者名稱 user
密碼 password

現在按一下登入按鈕。您現在應該看到一則訊息，指示您已使用先前輸入的使用者登入。使用者的資訊儲存在 Hazelcast 中，而不是 Tomcat 的 HttpSession 實作中。

運作方式

我們不是使用 Tomcat 的 HttpSession，而是將值持久保存在 Hazelcast 中。Spring Session 將 HttpSession 替換為由 Hazelcast 中的 Map 支援的實作。當 Spring Security 的 SecurityContextPersistenceFilter 將 SecurityContext 儲存到 HttpSession 時，它會接著被持久保存到 Hazelcast 中。

當建立新的 HttpSession 時，Spring Session 會在您的瀏覽器中建立一個名為 SESSION 的 Cookie。該 Cookie 包含您的 session ID。您可以檢視 Cookie (使用 Chrome 或 Firefox)。

與資料儲存區互動

您可以使用 Java 用戶端、其他用戶端之一或管理中心來移除 session。

使用主控台

例如，若要在連接到您的 Hazelcast 節點後，使用管理中心主控台移除 session，請執行以下命令

	default> ns spring:session:sessions
	spring:session:sessions> m.clear

Hazelcast 文件中有關於主控台的說明。

或者，您也可以刪除明確的金鑰。在主控台中輸入以下內容，務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION Cookie 的值

	spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

現在造訪 localhost:8080/ 上的應用程式，並觀察到我們不再通過驗證。

使用 REST API

如文件中涵蓋其他用戶端的部分所述，Hazelcast 節點(s) 提供了 REST API。

例如，您可以按如下方式刪除個別金鑰 (務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION Cookie 的值)

	$ curl -v -X DELETE https://127.0.0.1:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

Hazelcast 節點的埠號在啟動時會列印到主控台。將 xxxxx 替換為埠號。

現在您可以看到您不再使用此 session 通過驗證。