本指南介绍在使用 Hazelcast 作为数据存储时,如何将 Spring Session 与 Spring Security 一起使用。 它假定您已经将 Spring Security 应用于您的应用程序。
| 您可以在 Hazelcast Spring Security 示例应用程序中找到完整的指南。 |
| 您可以在 Hazelcast Spring Security 示例应用程序中找到完整的指南。 |
更新依赖项
在使用 Spring Session 之前,必须更新依赖项。 如果使用 Maven,则必须添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>com.hazelcast</groupId>
<artifactId>hazelcast</artifactId>
<version>5.4.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.9</version>
</dependency>
</dependencies>Spring 配置
添加所需的依赖项后,我们可以创建 Spring 配置。
Spring 配置负责创建一个 servlet 过滤器,该过滤器将实现替换为 Spring Session 支持的实现。
为此,请添加以下 Spring 配置:HttpSession
@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {
@Bean
public HazelcastInstance hazelcastInstance() {
Config config = new Config();
AttributeConfig attributeConfig = new AttributeConfig()
.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
.setExtractorClassName(PrincipalNameExtractor.class.getName());
config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
.addAttributeConfig(attributeConfig)
.addIndexConfig(
new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
SerializerConfig serializerConfig = new SerializerConfig();
serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
return Hazelcast.newHazelcastInstance(config); (4)
}
}| 1 | 注解创建一个名为 的 Spring bean,用于实现 。
过滤器负责替换 Spring Session 支持的实现。
在这种情况下,Spring Session 由 Hazelcast 提供支持。@EnableHazelcastHttpSessionspringSessionRepositoryFilterFilterHttpSession |
| 2 | 为了支持按主体名称索引检索会话,需要注册适当的会话。
Spring Session为此目的提供了条件。ValueExtractorPrincipalNameExtractor |
| 3 | 为了有效地序列化对象,需要注册。如果这
未设置,Hazelcast 将使用本机 Java 序列化序列化会话。MapSessionHazelcastSessionSerializer |
| 4 | 我们创建一个将 Spring Session 连接到 Hazelcast。
默认情况下,应用程序启动并连接到 Hazelcast 的嵌入式实例。
有关配置 Hazelcast 的更多信息,请参阅参考文档。HazelcastInstance |
如果首选,则需要在所有 Hazelcast 集群成员启动之前对其进行配置。
在 Hazelcast 群集中,所有成员都应对会话使用相同的序列化方法。此外,如果 Hazelcast 客户端/服务器拓扑
,则成员和客户端必须使用相同的序列化方法。序列化程序可以通过相同的成员进行注册。HazelcastSessionSerializerClientConfigSerializerConfiguration |
| 1 | 注解创建一个名为 的 Spring bean,用于实现 。
过滤器负责替换 Spring Session 支持的实现。
在这种情况下,Spring Session 由 Hazelcast 提供支持。@EnableHazelcastHttpSessionspringSessionRepositoryFilterFilterHttpSession |
| 2 | 为了支持按主体名称索引检索会话,需要注册适当的会话。
Spring Session为此目的提供了条件。ValueExtractorPrincipalNameExtractor |
| 3 | 为了有效地序列化对象,需要注册。如果这
未设置,Hazelcast 将使用本机 Java 序列化序列化会话。MapSessionHazelcastSessionSerializer |
| 4 | 我们创建一个将 Spring Session 连接到 Hazelcast。
默认情况下,应用程序启动并连接到 Hazelcast 的嵌入式实例。
有关配置 Hazelcast 的更多信息,请参阅参考文档。HazelcastInstance |
如果首选,则需要在所有 Hazelcast 集群成员启动之前对其进行配置。
在 Hazelcast 群集中,所有成员都应对会话使用相同的序列化方法。此外,如果 Hazelcast 客户端/服务器拓扑
,则成员和客户端必须使用相同的序列化方法。序列化程序可以通过相同的成员进行注册。HazelcastSessionSerializerClientConfigSerializerConfiguration |
Servlet 容器初始化
我们的 Spring Configuration 创建了一个名为 的 Spring Bean,用于实现 .
Bean 负责用 Spring Session 支持的自定义实现替换 bean。springSessionRepositoryFilterFilterspringSessionRepositoryFilterHttpSession
为了让我们发挥它的魔力,Spring 需要加载我们的类。
由于我们的应用程序已经在使用我们的类加载 Spring 配置,我们可以将我们的类添加到其中。
以下列表显示了如何执行此操作:FilterSessionConfigSecurityInitializerSessionConfig
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, SessionConfig.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的容器。
在 Spring Security 的 .
这样做可以确保 Spring Security 使用的 Spring Session 支持。
幸运的是,Spring Session 提供了一个名为 Utility 类的实用程序类,使执行此操作变得如此简单。
以下示例演示如何执行此操作:springSessionRepositoryFilterspringSessionRepositoryFilterspringSecurityFilterChainHttpSessionAbstractHttpSessionApplicationInitializer
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们类 () 的名称无关紧要。重要的是我们扩展.InitializerAbstractHttpSessionApplicationInitializer |
通过扩展,我们确保在 Spring Security 之前,为每个请求注册名为 Spring Bean 的 Spring Bean 的 servlet 容器。AbstractHttpSessionApplicationInitializerspringSessionRepositoryFilterspringSecurityFilterChain
我们类 () 的名称无关紧要。重要的是我们扩展.InitializerAbstractHttpSessionApplicationInitializer |
Hazelcast Spring Security 示例应用程序
本节介绍如何使用 Hazelcast Spring Security 示例应用程序。
运行示例应用程序
可以通过获取源代码并调用以下命令来运行示例:
$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
| 默认情况下,Hazelcast 在嵌入模式下与应用程序一起运行。 但是,如果要改为连接到独立实例,则可以按照参考文档中的说明对其进行配置。 |
您现在应该能够在 localhost:8080/ 访问该应用程序
探索安全示例应用程序
您现在可以尝试使用该应用程序。 为此,请输入以下内容进行登录:
-
用户名 user
-
密码 密码
现在点击 登录 按钮。
您现在应该会看到一条消息,指示您已使用之前输入的用户登录。
用户的信息存储在 Hazelcast 中,而不是 Tomcat 的实现中。HttpSession
它是如何工作的?
我们没有使用 Tomcat 的 ,而是在 Hazelcast 中保留这些值。
Spring Session 将 替换为 Hazelcast 中由 a 支持的实现。
当 Spring Security 将 保存到 时,它会持久化到 Hazelcast。HttpSessionHttpSessionMapSecurityContextPersistenceFilterSecurityContextHttpSession
与数据存储交互
您可以使用 Java 客户端、其他客户端之一或 Cisco Secure Firewall Management Center来除去会话。
使用控制台
例如,要在连接到 Hazelcast 节点后使用 FMC 控制台删除会话,请运行以下命令:
default> ns spring:session:sessions spring:session:sessions> m.clear
| Hazelcast 文档包含控制台的说明。 |
或者,您也可以删除显式密钥。在控制台中输入以下内容,确保替换为您的 cookie 值:7e8383a4-082c-4ffe-a4bc-c40fd3363c5eSESSION
spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在访问 localhost:8080/ 上的应用程序,并观察我们不再经过身份验证。
使用 REST API
如文档中涵盖其他客户端的部分所述,Hazelcast 节点提供了一个 REST API。
例如,您可以按如下方式删除单个密钥(确保替换为 SESSION cookie 的值):7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
$ curl -v -X DELETE http://localhost:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast 节点的端口号在启动时打印到控制台。替换为端口号。xxxxx |
现在,您可以看到您不再通过此会话进行身份验证。
| 默认情况下,Hazelcast 在嵌入模式下与应用程序一起运行。 但是,如果要改为连接到独立实例,则可以按照参考文档中的说明对其进行配置。 |
| Hazelcast 文档包含控制台的说明。 |
Hazelcast 节点的端口号在启动时打印到控制台。替换为端口号。xxxxx |