| 您可以在安全示例应用程序中找到完整的指南。 |
更新依赖项
在使用 Spring Session 之前,必须更新依赖项。 如果使用 Maven,则必须添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>3.3.1</version>
<type>pom</type>
</dependency>
<dependency>
<groupId>io.lettuce</groupId>
<artifactId>lettuce-core</artifactId>
<version>6.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.9</version>
</dependency>
</dependencies>Spring 配置
添加所需的依赖项后,我们可以创建 Spring 配置。
Spring 配置负责创建一个 servlet 过滤器,该过滤器将实现替换为 Spring Session 支持的实现。
为此,请添加以下 Spring 配置:HttpSession
@Configuration
@EnableRedisHttpSession (1)
public class Config {
@Bean
public LettuceConnectionFactory connectionFactory() {
return new LettuceConnectionFactory(); (2)
}
}| 1 | 注解创建一个 Spring bean,其名称为实现 。
过滤器负责替换 Spring Session 支持的实现。
在本例中,Spring Session 由 Redis 提供支持。@EnableRedisHttpSessionspringSessionRepositoryFilterFilterHttpSession |
| 2 | 我们创建一个将 Spring Session 连接到 Redis 服务器。
我们将连接配置为在默认端口 (6379) 上连接到 localhost
有关配置 Spring Data Redis 的更多信息,请参阅参考文档。RedisConnectionFactory |
| 1 | 注解创建一个 Spring bean,其名称为实现 。
过滤器负责替换 Spring Session 支持的实现。
在本例中,Spring Session 由 Redis 提供支持。@EnableRedisHttpSessionspringSessionRepositoryFilterFilterHttpSession |
| 2 | 我们创建一个将 Spring Session 连接到 Redis 服务器。
我们将连接配置为在默认端口 (6379) 上连接到 localhost
有关配置 Spring Data Redis 的更多信息,请参阅参考文档。RedisConnectionFactory |
Servlet 容器初始化
我们的 Spring Configuration 创建了一个名为 的 Spring Bean,用于实现 .
Bean 负责用 Spring Session 支持的自定义实现替换 bean。springSessionRepositoryFilterFilterspringSessionRepositoryFilterHttpSession
为了让我们发挥它的魔力,Spring 需要加载我们的类。
由于我们的应用程序已经在使用我们的类加载 Spring 配置,因此我们可以将我们的配置类添加到其中。
以下示例演示如何执行此操作:FilterConfigSecurityInitializer
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, Config.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的容器。
在 Spring Security 的 .
这确保了 Spring Security 使用的 Spring Session 支持。
幸运的是,Spring Session 提供了一个名为 Utility 类的实用程序类,使执行此操作变得容易。
以下示例演示如何执行此操作:springSessionRepositoryFilterspringSessionRepositoryFilterspringSecurityFilterChainHttpSessionAbstractHttpSessionApplicationInitializer
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们类的名称(初始值设定项)无关紧要。重要的是我们扩展.AbstractHttpSessionApplicationInitializer |
通过扩展,我们确保在 Spring Security 之前,为每个请求注册名为 Spring Bean 的 Spring bean 的 Servlet 容器。AbstractHttpSessionApplicationInitializerspringSessionRepositoryFilterspringSecurityFilterChain
我们类的名称(初始值设定项)无关紧要。重要的是我们扩展.AbstractHttpSessionApplicationInitializer |
security示例应用程序
本节介绍如何使用示例应用程序。security
运行示例应用程序security
可以通过获取源代码并调用以下命令来运行示例:
$ ./gradlew :spring-session-sample-javaconfig-security:tomcatRun
若要使示例正常工作,必须在 localhost 上安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。
或者,您可以将指向 Redis 服务器更新。
另一种选择是使用 Docker 在 localhost 上运行 Redis。
有关详细说明,请参阅 Docker Redis 存储库。RedisConnectionFactory |
您现在应该能够在 localhost:8080/ 访问该应用程序
探索示例应用程序security
现在您可以使用该应用程序了。输入以下内容进行登录:
-
用户名 user
-
密码 密码
现在点击 登录 按钮。
您现在应该会看到一条消息,指示您已使用之前输入的用户登录。
用户的信息存储在 Redis 中,而不是 Tomcat 的实现中。HttpSession
它是如何工作的?
我们没有使用 Tomcat 的 ,而是将这些值保留在 Redis 中。
Spring Session 将 替换为 Redis 支持的实现。
当 Spring Security 将 保存到 时,它就会被保存到 Redis 中。HttpSessionHttpSessionSecurityContextPersistenceFilterSecurityContextHttpSession
当创建一个新的时,Spring Session 会在您的浏览器中创建一个名为 cookie。
该 Cookie 包含您的会话的 ID。
您可以查看 cookie(使用 Chrome 或 Firefox)。HttpSessionSESSION
您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统上,可以键入以下命令:
$ redis-cli keys '*' | xargs redis-cli del
| Redis 文档包含安装 redis-cli 的说明。 |
或者,您也可以删除显式密钥。
在终端中输入以下命令,确保替换为 cookie 的值:7e8383a4-082c-4ffe-a4bc-c40fd3363c5eSESSION
$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在您可以在 localhost:8080/ 访问应用程序,并查看我们不再经过身份验证。
若要使示例正常工作,必须在 localhost 上安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。
或者,您可以将指向 Redis 服务器更新。
另一种选择是使用 Docker 在 localhost 上运行 Redis。
有关详细说明,请参阅 Docker Redis 存储库。RedisConnectionFactory |
| Redis 文档包含安装 redis-cli 的说明。 |