Spring Session - REST
更新相依性
在使用 Spring Session 之前,您必須更新您的相依性。如果您使用 Maven,您必須新增下列相依性
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.3.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.14</version>
</dependency>
</dependencies>Spring 設定
新增必要的相依性之後,我們可以建立我們的 Spring 設定。Spring 設定負責建立一個 servlet 篩選器,以 Spring Session 支援的實作取代 HttpSession 實作。若要執行此操作,請新增下列 Spring 設定
@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
return HeaderHttpSessionIdResolver.xAuthToken(); (3)
}
}| 1 | @EnableRedisHttpSession 註解建立一個名為 springSessionRepositoryFilter 的 Spring bean,它實作 Filter。此篩選器負責取代 HttpSession 實作,使其由 Spring Session 支援。在此範例中,Spring Session 由 Redis 支援。 |
| 2 | 我們建立一個 RedisConnectionFactory,將 Spring Session 連接到 Redis 伺服器。我們將連線設定為連線到預設埠 (6379) 上的 localhost。如需配置 Spring Data Redis 的詳細資訊,請參閱參考文件。 |
| 3 | 我們自訂 Spring Session 的 HttpSession 整合,以使用 HTTP 標頭來傳達目前的 session 資訊,而不是 cookie。 |
Servlet 容器初始化
我們的 Spring 設定建立了一個名為 springSessionRepositoryFilter 的 Spring Bean,它實作 Filter。springSessionRepositoryFilter bean 負責將 HttpSession 取代為由 Spring Session 支援的自訂實作。
為了讓我們的 Filter 發揮作用,Spring 需要載入我們的 Config 類別。我們在 Spring MvcInitializer 中提供設定,如下列範例所示
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}最後,我們需要確保我們的 Servlet 容器 (即 Tomcat) 對每個請求都使用我們的 springSessionRepositoryFilter。幸運的是,Spring Session 提供了一個名為 AbstractHttpSessionApplicationInitializer 的公用程式類別,可以輕鬆完成此操作。若要執行此操作,請使用預設建構子擴充此類別,如下列範例所示
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我們的類別名稱 (Initializer) 並不重要。重要的是我們擴充了 AbstractHttpSessionApplicationInitializer。 |
rest 範例應用程式
本節說明如何使用 rest 範例應用程式。
執行 rest 範例應用程式
您可以透過取得 原始碼 並調用下列命令來執行範例
為了使範例能夠運作,您必須在 localhost 上安裝 Redis 2.8+ 並以預設埠 (6379) 執行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 伺服器。另一個選項是使用 Docker 在 localhost 上執行 Redis。請參閱 Docker Redis 儲存庫 以取得詳細指示。 |
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun
您現在應該可以透過 localhost:8080/ 存取應用程式
探索 rest 範例應用程式
您現在可以嘗試使用應用程式。若要執行此操作,請使用您最愛的 REST 用戶端請求 localhost:8080/
$ curl -v https://127.0.0.1:8080/
請注意,系統會提示您輸入基本身份驗證。請提供下列使用者名稱和密碼資訊
-
使用者名稱 user
-
密碼 password
然後執行下列命令
$ curl -v https://127.0.0.1:8080/ -u user:password
在輸出中,您應該會注意到以下內容
HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3
{"username":"user"}
具體而言,您應該注意到關於我們回應的以下事項
-
HTTP 狀態現在為 200。
-
我們有一個名為
X-Auth-Token的標頭,其中包含新的 session ID。 -
目前的使用者名稱已顯示。
我們現在可以使用 X-Auth-Token 再次發出請求,而無需再次提供使用者名稱和密碼。例如,下列命令會輸出使用者名稱,與之前相同
$ curl -v https://127.0.0.1:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
唯一的區別是 session ID 未在回應標頭中提供,因為我們正在重複使用現有的 session。
如果我們使 session 無效,X-Auth-Token 會在回應中顯示為空值。例如,下列命令會使我們的 session 無效
$ curl -v https://127.0.0.1:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
您可以在輸出中看到 X-Auth-Token 提供了一個空的 String,表示先前的 session 已失效
HTTP/1.1 204 No Content ... X-Auth-Token:
運作方式為何?
Spring Security 在 SecurityContextPersistenceFilter 中與標準 HttpSession 互動。
現在 Spring Security 將值持久化在 Redis 中,而不是使用 Tomcat 的 HttpSession。Spring Session 在您的瀏覽器中建立一個名為 X-Auth-Token 的標頭。該標頭包含您的 session ID。
如果您願意,您可以輕鬆地看到 session 在 Redis 中建立。若要執行此操作,請使用下列命令建立 session
$ curl -v https://127.0.0.1:8080/ -u user:password
在輸出中,您應該會注意到以下內容
HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
{"username":"user"}
現在您可以使用 redis-cli 移除 session。例如,在基於 Linux 的系統上,您可以輸入
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文件中有關於安裝 redis-cli的說明。 |
或者,您也可以刪除明確的鍵。若要執行此操作,請在您的終端機中輸入以下內容,務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION cookie 的值
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
我們現在可以使用 X-Auth-Token 對我們刪除的 session 發出另一個請求,並觀察到系統提示我們進行身份驗證。例如,以下命令會傳回 HTTP 401
$ curl -v https://127.0.0.1:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"
