|
对于最新的稳定版本,请使用 Spring Session 3.3.1! |
|
对于最新的稳定版本,请使用 Spring Session 3.3.1! |
本节包含适用于所有或大多数 Spring Session 模块的常见配置。 它包含以下用例的配置示例:
更改会话 ID 的生成方式
默认情况下,Spring Session 使用 which 而使用 a 来生成会话 ID。
在某些情况下,最好包含其他字符以增加熵,或者您可能希望使用其他算法来生成会话 ID。
要更改此设置,您可以提供自定义 Bean:UuidSessionIdGeneratorjava.util.UUIDSessionIdGenerator
-
Java
@Bean
public SessionIdGenerator sessionIdGenerator() {
return new MySessionIdGenerator();
}
class MySessionIdGenerator implements SessionIdGenerator {
@Override
public String generate() {
// ...
}
}暴露 Bean 后,Spring Session 将使用它来生成会话 ID。SessionIdGenerator
如果您要手动配置 bean(而不是使用 ,例如),您可以直接在实现上设置:SessionRepository@EnableRedisHttpSessionSessionIdGeneratorSessionRepository
SessionIdGeneratorSessionRepository-
Java
@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
repository.setSessionIdGenerator(new MySessionIdGenerator());
return repository;
}自定义会话 Cookie
设置 Spring Session 后,您可以通过将 a 公开为 Spring Bean 来自定义会话 cookie 的编写方式。
Spring Session 附带 .
当您使用类似 的配置时,将 公开为 Spring bean 会扩充现有配置。
以下示例演示如何自定义 Spring Session 的 cookie:CookieSerializerDefaultCookieSerializerDefaultCookieSerializer@EnableRedisHttpSession
@Bean
public CookieSerializer cookieSerializer() {
DefaultCookieSerializer serializer = new DefaultCookieSerializer();
serializer.setCookieName("JSESSIONID"); (1)
serializer.setCookiePath("/"); (2)
serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); (3)
return serializer;
}| 1 | 我们将 cookie 的名称自定义为 。JSESSIONID |
| 2 | 我们将 cookie 的路径自定义为(而不是上下文根的默认路径)。/ |
| 3 | 我们将域名模式(正则表达式)自定义为 。
这允许跨域和应用程序共享会话。
如果正则表达式不匹配,则不设置属性域,并使用现有属性域。
如果正则表达式匹配,则第一个分组用作域。
这意味着对 child.example.com 的请求将域设置为 。
但是,对 localhost:8080/ 或 192.168.1.100:8080/ 的请求会使 cookie 保持未设置状态,因此,它仍然在开发中工作,无需对生产进行任何更改。^.?\\.(\\w\\.[a-z]+)$example.com |
| 您应仅匹配有效的域字符,因为该域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。 |
配置选项
可以使用以下配置选项:
-
cookieName:要使用的 Cookie 的名称。 违约:。SESSION -
useSecureCookie:指定是否应使用安全 Cookie。 默认值:使用创建时的值。HttpServletRequest.isSecure() -
cookiePath:cookie 的路径。 默认值:上下文根。 -
cookieMaxAge:指定在创建会话时要设置的 cookie 的最长期限。 默认值:,表示在浏览器关闭时应删除 cookie。-1 -
jvmRoute:指定要附加到会话 ID 并包含在 Cookie 中的后缀。 用于确定要路由到哪个 JVM 以实现会话相关性。 对于某些实现(即 Redis),此选项不会提供任何性能优势。 但是,它可以帮助跟踪特定用户的日志。 -
domainName:允许指定用于 cookie 的特定域名。 此选项易于理解,但通常需要在开发环境和生产环境之间进行不同的配置。 请看作另一种选择。domainNamePattern -
domainNamePattern:一种不区分大小写的模式,用于从 . 该模式应提供用于提取 Cookie 域值的单个分组。 如果正则表达式不匹配,则不设置属性域,并使用现有属性域。 如果正则表达式匹配,则第一个分组用作域。HttpServletRequest#getServerName() -
sameSite:cookie 指令的值。 若要禁用 cookie 指令的序列化,可以将此值设置为 。 违约:SameSiteSameSitenullLax -
rememberMeRequestAttribute:指示记住我登录的请求属性名称。 如果指定,则 cookie 将写入 .Integer.MAX_VALUE
|
如果您正在使用并声明自定义 Bean,则应设置该字段以确保 Spring Session 依赖于会话过期而不是 cookie 过期。
为此,您可以使用以下代码片段: |
WebFlux 中的自定义 Cookie
您可以通过将 a 公开为 Spring bean 来自定义会话 cookie 在 WebFlux 应用程序中的编写方式。
Spring Session 默认使用 。
以下示例演示如何自定义 Spring Session 的 cookie:WebSessionIdResolverCookieWebSessionIdResolver
@Bean
public WebSessionIdResolver webSessionIdResolver() {
CookieWebSessionIdResolver resolver = new CookieWebSessionIdResolver();
resolver.setCookieName("JSESSIONID"); (1)
resolver.addCookieInitializer((builder) -> builder.path("/")); (2)
resolver.addCookieInitializer((builder) -> builder.sameSite("Strict")); (3)
return resolver;
}| 1 | 我们将 cookie 的名称自定义为 。JSESSIONID |
| 2 | 我们将 cookie 的路径自定义为(而不是上下文根的默认路径)。/ |
| 3 | 我们将 cookie 指令自定义为 。SameSiteStrict |
| 1 | 我们将 cookie 的名称自定义为 。JSESSIONID |
| 2 | 我们将 cookie 的路径自定义为(而不是上下文根的默认路径)。/ |
| 3 | 我们将域名模式(正则表达式)自定义为 。
这允许跨域和应用程序共享会话。
如果正则表达式不匹配,则不设置属性域,并使用现有属性域。
如果正则表达式匹配,则第一个分组用作域。
这意味着对 child.example.com 的请求将域设置为 。
但是,对 localhost:8080/ 或 192.168.1.100:8080/ 的请求会使 cookie 保持未设置状态,因此,它仍然在开发中工作,无需对生产进行任何更改。^.?\\.(\\w\\.[a-z]+)$example.com |
| 您应仅匹配有效的域字符,因为该域名会反映在响应中。 这样做可以防止恶意用户执行 HTTP 响应拆分等攻击。 |
|
如果您正在使用并声明自定义 Bean,则应设置该字段以确保 Spring Session 依赖于会话过期而不是 cookie 过期。
为此,您可以使用以下代码片段: |
| 1 | 我们将 cookie 的名称自定义为 。JSESSIONID |
| 2 | 我们将 cookie 的路径自定义为(而不是上下文根的默认路径)。/ |
| 3 | 我们将 cookie 指令自定义为 。SameSiteStrict |