Spring Session - REST

本指南介绍如何使用 Spring Session 透明地利用 Redis 支持 Web 应用程序的 HttpSession,当您使用 REST 端点时。

您可以在 rest 示例应用程序 中找到完整的指南。

更新依赖项

在使用 Spring Session 之前,您必须更新您的依赖项。如果您使用 Maven,则必须添加以下依赖项

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>org.springframework.session</groupId>
		<artifactId>spring-session-data-redis</artifactId>
		<version>3.3.3</version>
		<type>pom</type>
	</dependency>
	<dependency>
		<groupId>io.lettuce</groupId>
		<artifactId>lettuce-core</artifactId>
		<version>6.3.2.RELEASE</version>
	</dependency>
	<dependency>
		<groupId>org.springframework</groupId>
		<artifactId>spring-web</artifactId>
		<version>6.1.14</version>
	</dependency>
</dependencies>

Spring 配置

添加所需的依赖项后,我们可以创建 Spring 配置。Spring 配置负责创建一个 servlet 过滤器,该过滤器用由 Spring Session 支持的实现替换 HttpSession 实现。为此,请添加以下 Spring 配置

@Configuration
@EnableRedisHttpSession (1)
public class HttpSessionConfig {

	@Bean
	public LettuceConnectionFactory connectionFactory() {
		return new LettuceConnectionFactory(); (2)
	}

	@Bean
	public HttpSessionIdResolver httpSessionIdResolver() {
		return HeaderHttpSessionIdResolver.xAuthToken(); (3)
	}

}
1 @EnableRedisHttpSession 注解创建一个名为 springSessionRepositoryFilter 的 Spring bean,该 bean 实现 Filter。该过滤器负责替换 HttpSession 实现,使其由 Spring Session 支持。在本例中,Spring Session 由 Redis 支持。
2 我们创建一个 RedisConnectionFactory,将 Spring Session 连接到 Redis 服务器。我们配置连接以连接到 localhost 上的默认端口 (6379)。有关配置 Spring Data Redis 的更多信息,请参阅 参考文档
3 我们自定义 Spring Session 的 HttpSession 集成以使用 HTTP 标头来传递当前会话信息,而不是使用 cookie。

Servlet 容器初始化

我们的 Spring 配置 创建了一个名为 springSessionRepositoryFilter 的 Spring Bean,该 Bean 实现 FilterspringSessionRepositoryFilter bean 负责用由 Spring Session 支持的自定义实现替换 HttpSession

为了让我们的 Filter 发挥作用,Spring 需要加载我们的 Config 类。我们将在 Spring MvcInitializer 中提供配置,如下例所示

src/main/java/sample/mvc/MvcInitializer.java
@Override
protected Class<?>[] getRootConfigClasses() {
	return new Class[] { SecurityConfig.class, HttpSessionConfig.class };
}

最后,我们需要确保我们的 Servlet 容器(即 Tomcat)对每个请求都使用我们的 springSessionRepositoryFilter。幸运的是,Spring Session 提供了一个名为 AbstractHttpSessionApplicationInitializer 的实用程序类,这使得这样做变得很容易。为此,请使用默认构造函数扩展该类,如下例所示

src/main/java/sample/Initializer.java
public class Initializer extends AbstractHttpSessionApplicationInitializer {

}
我们类的名称 (Initializer) 并不重要。重要的是我们扩展了 AbstractHttpSessionApplicationInitializer

rest 示例应用程序

本节介绍如何使用 rest 示例应用程序。

运行 rest 示例应用程序

您可以通过获取 源代码 并调用以下命令来运行该示例

为了使示例正常工作,您必须在 localhost 上 安装 Redis 2.8+ 并使用默认端口 (6379) 运行它。或者,您可以更新 RedisConnectionFactory 以指向 Redis 服务器。另一种选择是使用 Docker 在 localhost 上运行 Redis。有关详细说明,请参阅 Docker Redis 存储库 
$ ./gradlew :spring-session-sample-javaconfig-rest:tomcatRun

您现在应该能够在 localhost:8080/ 访问该应用程序

探索 rest 示例应用程序

您现在可以尝试使用该应用程序。为此,请使用您喜欢的 REST 客户端请求 localhost:8080/

	$ curl -v https://127.0.0.1:8080/

请注意,系统会提示您进行基本身份验证。请提供以下用户名和密码信息

  • 用户名 user

  • 密码 password

然后运行以下命令

$ curl -v https://127.0.0.1:8080/ -u user:password

在输出中,您应该会注意到以下内容

HTTP/1.1 200 OK
...
X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3

{"username":"user"}

具体来说,您应该注意我们响应的以下内容

  • HTTP 状态现在为 200。

  • 我们有一个名为 X-Auth-Token 的标头,其中包含新的会话 ID。

  • 显示当前用户名。

我们现在可以使用 X-Auth-Token 进行另一个请求,而无需再次提供用户名和密码。例如,以下命令输出用户名,如前所示

	$ curl -v https://127.0.0.1:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"

唯一的区别是会话 ID 没有在响应标头中提供,因为我们正在重用现有会话。

如果我们使会话无效,则 X-Auth-Token 将在响应中显示,其值为为空。例如,以下命令使我们的会话无效

	$ curl -v https://127.0.0.1:8080/logout -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"

您可以在输出中看到 X-Auth-Token 提供了一个空 String,指示先前会话已失效

HTTP/1.1 204 No Content
...
X-Auth-Token:

它是如何工作的?

Spring Security 在 SecurityContextPersistenceFilter 中与标准 HttpSession 交互。

Spring Security 现在将值持久化到 Redis 中,而不是使用 Tomcat 的 HttpSession。Spring Session 在您的浏览器中创建一个名为 X-Auth-Token 的标头。该标头包含您的会话 ID。

如果您愿意,您可以轻松查看会话是否在 Redis 中创建。为此,请使用以下命令创建会话

$ curl -v https://127.0.0.1:8080/ -u user:password

在输出中,您应该会注意到以下内容

HTTP/1.1 200 OK
...
X-Auth-Token: 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

{"username":"user"}

现在,您可以使用 redis-cli 删除会话。例如,在基于 Linux 的系统上,您可以键入

	$ redis-cli keys '*' | xargs redis-cli del
Redis 文档中提供了有关 安装 redis-cli 的说明。

或者,您也可以删除显式密钥。为此,请在终端中输入以下内容,确保将 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e 替换为您 SESSION cookie 的值

	$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

我们现在可以使用 X-Auth-Token 使用我们已删除的会话发出另一个请求,并观察我们是否被提示进行身份验证。例如,以下返回 HTTP 401

	$ curl -v https://127.0.0.1:8080/ -H "X-Auth-Token: 0dc1f6e1-c7f1-41ac-8ce2-32b6b3e57aa3"