Spring Session 和 Spring Security 集成 Hazelcast
本指南介绍了在使用 Hazelcast 作为数据存储时,如何将 Spring Session 与 Spring Security 结合使用。假设您已将 Spring Security 应用于您的应用程序。
| 您可以在 Hazelcast Spring Security 示例应用程序 中找到完整的指南。 |
更新依赖项
在使用 Spring Session 之前,您必须更新您的依赖项。如果您使用 Maven,则必须添加以下依赖项
<dependencies>
<!-- ... -->
<dependency>
<groupId>com.hazelcast</groupId>
<artifactId>hazelcast</artifactId>
<version>5.4.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>6.1.14</version>
</dependency>
</dependencies>Spring 配置
添加所需的依赖项后,我们可以创建 Spring 配置。Spring 配置负责创建一个 servlet 过滤器,该过滤器将 HttpSession 实现替换为由 Spring Session 支持的实现。为此,请添加以下 Spring 配置
@EnableHazelcastHttpSession (1)
@Configuration
public class HazelcastHttpSessionConfig {
@Bean
public HazelcastInstance hazelcastInstance() {
Config config = new Config();
AttributeConfig attributeConfig = new AttributeConfig()
.setName(HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE)
.setExtractorClassName(PrincipalNameExtractor.class.getName());
config.getMapConfig(HazelcastIndexedSessionRepository.DEFAULT_SESSION_MAP_NAME) (2)
.addAttributeConfig(attributeConfig)
.addIndexConfig(
new IndexConfig(IndexType.HASH, HazelcastIndexedSessionRepository.PRINCIPAL_NAME_ATTRIBUTE));
SerializerConfig serializerConfig = new SerializerConfig();
serializerConfig.setImplementation(new HazelcastSessionSerializer()).setTypeClass(MapSession.class);
config.getSerializationConfig().addSerializerConfig(serializerConfig); (3)
return Hazelcast.newHazelcastInstance(config); (4)
}
}| 1 | @EnableHazelcastHttpSession 注解创建一个名为 springSessionRepositoryFilter 的 Spring Bean,该 Bean 实现 Filter 接口。该过滤器负责替换 HttpSession 实现,使其由 Spring Session 支持。在本例中,Spring Session 由 Hazelcast 支持。 |
| 2 | 为了支持按主体名称索引检索会话,需要注册相应的 ValueExtractor。Spring Session 为此提供了 PrincipalNameExtractor。 |
| 3 | 为了有效地序列化 MapSession 对象,需要注册 HazelcastSessionSerializer。如果未设置,Hazelcast 将使用原生 Java 序列化来序列化会话。 |
| 4 | 我们创建了一个 HazelcastInstance,它将 Spring Session 连接到 Hazelcast。默认情况下,应用程序启动并连接到 Hazelcast 的嵌入式实例。有关配置 Hazelcast 的更多信息,请参阅 参考文档。 |
如果首选 HazelcastSessionSerializer,则需要在所有 Hazelcast 集群成员启动之前为其配置。在 Hazelcast 集群中,所有成员都应使用相同的方法来序列化会话。此外,如果使用 Hazelcast 客户端/服务器拓扑,则成员和客户端都必须使用相同的方法进行序列化。序列化器可以通过 ClientConfig 使用与成员相同的 SerializerConfiguration 进行注册。 |
Servlet 容器初始化
我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring Bean,该 Bean 实现 Filter 接口。springSessionRepositoryFilter Bean 负责将 HttpSession 替换为由 Spring Session 支持的自定义实现。
为了使我们的 Filter 发挥其作用,Spring 需要加载我们的 SessionConfig 类。由于我们的应用程序已通过使用 SecurityInitializer 类加载 Spring 配置,因此我们可以将 SessionConfig 类添加到其中。以下清单显示了如何操作
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityInitializer() {
super(SecurityConfig.class, SessionConfig.class);
}
}最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。至关重要的是,Spring Session 的 springSessionRepositoryFilter 必须在 Spring Security 的 springSecurityFilterChain 之前调用。这样做可以确保 Spring Security 使用的 HttpSession 由 Spring Session 支持。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的实用程序类,这使得操作变得很容易。以下示例显示了如何操作
public class Initializer extends AbstractHttpSessionApplicationInitializer {
}我们类的名称(Initializer)无关紧要。重要的是我们扩展了 AbstractHttpSessionApplicationInitializer。 |
通过扩展 AbstractHttpSessionApplicationInitializer,我们确保名为 springSessionRepositoryFilter 的 Spring Bean 在 Spring Security 的 springSecurityFilterChain 之前为每个请求在我们的 servlet 容器中注册。
Hazelcast Spring Security 示例应用程序
本节介绍了如何使用 Hazelcast Spring Security 示例应用程序。
运行示例应用程序
您可以通过获取 源代码 并调用以下命令来运行示例
$ ./gradlew :spring-session-sample-javaconfig-hazelcast:tomcatRun
| 默认情况下,Hazelcast 以嵌入模式与您的应用程序一起运行。但是,如果您想连接到独立实例,则可以通过按照 参考文档 中的说明进行配置。 |
您现在应该能够在 localhost:8080/ 访问该应用程序。
探索安全示例应用程序
您现在可以尝试使用该应用程序。为此,请输入以下内容以登录
-
用户名 user
-
密码 password
现在点击**登录**按钮。您现在应该会看到一条消息,指示您已使用之前输入的用户登录。用户信息存储在 Hazelcast 中,而不是 Tomcat 的 HttpSession 实现中。
它是如何工作的?
我们不是使用 Tomcat 的 HttpSession,而是将值持久化到 Hazelcast 中。Spring Session 将 HttpSession 替换为由 Hazelcast 中的 Map 支持的实现。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 时,它会被持久化到 Hazelcast 中。
与数据存储交互
使用控制台
例如,要使用管理中心控制台连接到 Hazelcast 节点后删除会话,请运行以下命令
default> ns spring:session:sessions spring:session:sessions> m.clear
| Hazelcast 文档包含有关 控制台 的说明。 |
或者,您也可以删除显式键。在控制台中输入以下内容,确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为 SESSION Cookie 的值
spring:session:sessions> m.remove 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
现在访问 localhost:8080/ 上的应用程序,并观察我们不再处于身份验证状态。
使用 REST API
如涵盖其他客户端的文档部分所述,Hazelcast 节点提供了一个 REST API。
例如,您可以按如下方式删除单个键(确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为 SESSION Cookie 的值)
$ curl -v -X DELETE https://127.0.0.1:xxxxx/hazelcast/rest/maps/spring:session:sessions/7e8383a4-082c-4ffe-a4bc-c40fd3363c5e
Hazelcast节点的端口号会在启动时打印到控制台。请将xxxxx替换为端口号。 |
现在您可以看到您不再使用此会话进行身份验证。
