Spring Session - Spring Boot
本指南介绍了在使用 Spring Boot 时如何使用 Spring Session 透明利用关系数据库来支持 Web 应用程序的 HttpSession。
|
您可以在httpsession-jdbc-boot sample application中找到已完成指南。 |
Updating Dependencies
在使用 Spring Session 之前,必须更新你的依赖项。我们假设你正在与正在运行的 Spring Boot Web 应用程序一起使用。如果你使用 Maven,则必须添加以下依赖项:
<dependencies>
<!-- ... -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-jdbc</artifactId>
</dependency>
</dependencies>Spring Boot 为 Spring Session 模块提供了依赖管理,因此你无需明确声明依赖项版本。
Spring Boot Configuration
在添加必需的依赖项后,我们可以创建 Spring Boot 配置。由于一流的自动配置支持,只需添加依赖项,Spring Boot 就为我们设置了关系数据库支持的 Spring Session。
如果 classpath 上存在单个 Spring Session 模块,Spring Boot 会自动使用该存储实现。如果你有多个实现,你必须选择要用于存储会话的 StoreType,如上所示。
在表面之下,Spring Boot 应用的配置等同于手动添加 @EnableJdbcHttpSession 注解。这创建了一个名为 springSessionRepositoryFilter 的 Spring bean。该 bean 实现了 Filter。该筛选器负责替换 HttpSession 实现,以便由 Spring Session 支持。
你可以使用 application.properties 进一步自定义。以下清单显示了如何执行此操作:
server.servlet.session.timeout= # Session timeout. If a duration suffix is not specified, seconds are used. spring.session.jdbc.initialize-schema=embedded # Database schema initialization mode. spring.session.jdbc.schema=classpath:org/springframework/session/jdbc/schema-@@platform@@.sql # Path to the SQL file to use to initialize the database schema. spring.session.jdbc.table-name=SPRING_SESSION # Name of the database table used to store sessions.
有关更多信息,请参阅 Spring Boot 文档中的 {docs-url}/spring-boot/docs/{spring-boot-version}/reference/htmlsingle/#boot-features-session[Spring Session] 部分。
Configuring the DataSource
Spring Boot 自动创建 DataSource,它将 Spring Session 连接到 H2 数据库的嵌入式实例。在生产环境中,你需要更新配置以指向你的关系数据库。例如,你可以在 application.properties 中包含以下内容:
spring.datasource.url= # JDBC URL of the database. spring.datasource.username= # Login username of the database. spring.datasource.password= # Login password of the database.
有关更多信息,请参阅 Spring Boot 文档的 {docs-url}/spring-boot/docs/{spring-boot-version}/reference/htmlsingle/#boot-features-configure-datasource[配置数据源] 部分。
Servlet Container Initialization
我们的 Spring Boot Configuration 创建了一个名为 springSessionRepositoryFilter 的 Spring bean,它实现了 Filter。springSessionRepositoryFilter bean 负责使用 Spring Session 支持的自定义实现替换 HttpSession。
为了让我们的 Filter 发挥作用,Spring 需要加载我们的 Config 类。最后,我们需要确保我们的 Servlet 容器(即 Tomcat)在每个请求中使用我们的 springSessionRepositoryFilter。幸运的是,Spring Boot 替我们执行这两个步骤。
httpsession-jdbc-boot Sample Application
httpsession-jdbc-boot 示例应用程序演示了在使用 Spring Boot 时如何使用 Spring Session 透明利用 H2 数据库来支持 Web 应用程序的 HttpSession。
Running the httpsession-jdbc-boot Sample Application
您可以获取 源代码 并调用以下命令运行示例:
$ ./gradlew :spring-session-sample-boot-jdbc:bootRun
您现在应该能够访问 [role="bare"][role="bare"]http://localhost:8080/ 中的应用程序。
Exploring the Security Sample Application
您现在可以尝试使用该应用程序。为此,请输入以下内容进行登录:
-
Username user
-
Password password
现在,单击 Login 按钮。你现在应该看到一条消息,指出你已使用之前输入的用户登录。用户的相关信息存储在 H2 数据库中,而不是 Tomcat 的 HttpSession 实现中。
How Does It Work?
我们持久化值到 H2 数据库中,而不是使用 Tomcat 的 HttpSession。Spring Session 用一个关系数据库支持的实现替换了 HttpSession。当 Spring Security 的 SecurityContextPersistenceFilter 将 SecurityContext 保存到 HttpSession 中时,它就会持久化到 H2 数据库中。
当创建新的 HttpSession 时,Spring Session 在浏览器中创建一个名为 SESSION 的 cookie。该 cookie 包含会话 ID。您可以查看 cookie(使用 Chrome 或 Firefox)。
你可以使用位于 [role="bare"][role="bare"]http://localhost:8080/h2-console/ 的 H2 web 控制台来移除会话(为 JDBC URL 使用 jdbc:h2:mem:testdb)。
现在,您可以访问 [role="bare"][role="bare"]http://localhost:8080/ 中的应用程序并看到我们不再通过身份验证。