Spring Session 與 Spring Security
本指南說明如何搭配 Spring Security 使用 Spring Session。假設您已將 Spring Security 應用於您的應用程式。
| 您可以在 security 範例應用程式 中找到完整的指南。 |
更新依賴套件
在您使用 Spring Session 之前,您必須更新您的依賴套件。如果您使用 Maven,您必須新增以下依賴套件
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.3.3</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.14</version>
</dependency>
</dependencies>Spring 配置
新增必要的依賴套件後,我們可以建立 Spring 配置。Spring 配置負責建立一個 servlet 篩選器,以 Spring Session 支援的實作取代 HttpSession 實作。若要執行此操作,請新增以下 Spring 配置
@Configuration
@EnableRedisHttpSession (1)
public class Config {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
}| 1 | @EnableRedisHttpSession 註解建立一個名為 springSessionRepositoryFilter 的 Spring Bean,它實作 Filter。此篩選器負責將 HttpSession 實作替換為由 Spring Session 支援的實作。在此例中,Spring Session 由 Redis 支援。 |
| 2 | 我們建立一個 RedisConnectionFactory,將 Spring Session 連接到 Redis 伺服器。我們將連線配置為連線到 localhost 的預設埠 (6379)。如需配置 Spring Data Redis 的詳細資訊,請參閱參考文件。 |
Servlet 容器初始化
我們的 Spring 配置 建立了一個名為 springSessionRepositoryFilter 的 Spring Bean,它實作 Filter。springSessionRepositoryFilter Bean 負責將 HttpSession 替換為由 Spring Session 支援的自訂實作。
為了讓我們的 Filter 發揮作用,Spring 需要載入我們的 Config 類別。由於我們的應用程式已透過使用我們的 SecurityInitializer 類別載入 Spring 配置,我們可以將我們的配置類別新增至其中。以下範例示範如何執行此操作
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, Config.class);
}
}最後,我們需要確保我們的 Servlet 容器 (即 Tomcat) 為每個請求使用我們的 springSessionRepositoryFilter。Spring Session 的 springSessionRepositoryFilter 必須在 Spring Security 的 springSecurityFilterChain 之前調用,這點至關重要。這確保 Spring Security 使用的 HttpSession 由 Spring Session 支援。幸運的是,Spring Session 提供了一個名為 AbstractHttpSessionApplicationInitializer 的公用程式類別,讓執行此操作變得容易。以下範例示範如何執行此操作
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我們的類別名稱 (Initializer) 並不重要。重要的是我們擴展 AbstractHttpSessionApplicationInitializer。 |
透過擴展 AbstractHttpSessionApplicationInitializer,我們確保名為 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前,為每個請求註冊到我們的 Servlet 容器。
security 範例應用程式
本節說明如何使用 security 範例應用程式。
執行 security 範例應用程式
您可以透過取得原始碼並調用以下命令來執行範例
$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
為了使範例正常運作,您必須在 localhost 上安裝 Redis 2.8+,並使用預設埠 (6379) 執行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 伺服器。另一種選擇是使用 Docker 在 localhost 上執行 Redis。有關詳細說明,請參閱 Docker Redis 儲存庫。 |
您現在應該可以透過 localhost:8080/ 存取應用程式
探索 security 範例應用程式
現在您可以使用此應用程式。輸入以下內容以登入
-
使用者名稱 user
-
密碼 password
現在按一下 [登入] 按鈕。您現在應該會看到一則訊息,指示您已使用先前輸入的使用者登入。使用者的資訊儲存在 Redis 中,而不是 Tomcat 的 HttpSession 實作中。
運作方式為何?
我們沒有使用 Tomcat 的 HttpSession,而是將值持久儲存在 Redis 中。Spring Session 將 HttpSession 替換為由 Redis 支援的實作。當 Spring Security 的 SecurityContextPersistenceFilter 將 SecurityContext 儲存到 HttpSession 時,它接著會持久儲存到 Redis 中。
當建立新的 HttpSession 時,Spring Session 會在您的瀏覽器中建立一個名為 SESSION 的 Cookie。該 Cookie 包含您的 Session ID。您可以檢視 Cookie (使用 Chrome 或 Firefox)。
您可以使用 redis-cli 移除 Session。例如,在基於 Linux 的系統上,您可以輸入以下命令
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文件中有關於安裝 redis-cli 的說明。 |
或者,您也可以刪除明確的索引鍵。在您的終端機中輸入以下命令,務必將 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替換為您的 SESSION Cookie 的值
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
現在您可以造訪 localhost:8080/ 的應用程式,並看到我們不再通過驗證。
