Spring Security怎么處理Session 共享

這篇文章主要介紹“Spring Security怎么處理Session 共享”，在日常操作中，相信很多人在Spring Security怎么處理Session 共享問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Spring Security怎么處理Session 共享”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

1.集群會話方案

在傳統(tǒng)的單服務(wù)架構(gòu)中，一般來說，只有一個服務(wù)器，那么不存在 Session 共享問題，但是在分布式/集群項目中，Session  共享則是一個必須面對的問題，先看一個簡單的架構(gòu)圖：

在這樣的架構(gòu)中，會出現(xiàn)一些單服務(wù)中不存在的問題，例如客戶端發(fā)起一個請求，這個請求到達 Nginx 上之后，被 Nginx 轉(zhuǎn)發(fā)到 Tomcat A  上，然后在 Tomcat A 上往 session 中保存了一份數(shù)據(jù)，下次又來一個請求，這個請求被轉(zhuǎn)發(fā)到 Tomcat B 上，此時再去 Session  中獲取數(shù)據(jù)，發(fā)現(xiàn)沒有之前的數(shù)據(jù)。

1.1 session 共享

對于這一類問題的解決，目前比較主流的方案就是將各個服務(wù)之間需要共享的數(shù)據(jù)，保存到一個公共的地方(主流方案就是 Redis)：

當所有 Tomcat 需要往 Session 中寫數(shù)據(jù)時，都往 Redis 中寫，當所有 Tomcat 需要讀數(shù)據(jù)時，都從 Redis  中讀。這樣，不同的服務(wù)就可以使用相同的 Session 數(shù)據(jù)了。

這樣的方案，可以由開發(fā)者手動實現(xiàn)，即手動往 Redis 中存儲數(shù)據(jù)，手動從 Redis 中讀取數(shù)據(jù)，相當于使用一些 Redis  客戶端工具來實現(xiàn)這樣的功能，毫無疑問，手動實現(xiàn)工作量還是蠻大的。

一個簡化的方案就是使用 Spring Session 來實現(xiàn)這一功能，Spring Session 就是使用 Spring 中的代理過濾器，將所有的  Session 操作攔截下來，自動的將數(shù)據(jù) 同步到 Redis 中，或者自動的從 Redis 中讀取數(shù)據(jù)。

對于開發(fā)者來說，所有關(guān)于 Session 同步的操作都是透明的，開發(fā)者使用 Spring Session，一旦配置完成后，具體的用法就像使用一個普通的  Session 一樣。

1.2 session 拷貝

session 拷貝就是不利用 redis，直接在各個 Tomcat 之間進行 session 數(shù)據(jù)拷貝，但是這種方式效率有點低，Tomcat A、B、C  中任意一個的 session 發(fā)生了變化，都需要拷貝到其他 Tomcat 上，如果集群中的服務(wù)器數(shù)量特別多的話，這種方式不僅效率低，還會有很嚴重的延遲。

所以這種方案一般作為了解即可。

1.3 粘滯會話

所謂的粘滯會話就是將相同 IP 發(fā)送來的請求，通過 Nginx 路由到同一個 Tomcat 上去，這樣就不用進行 session  共享與同步了。這是一個辦法，但是在一些極端情況下，可能會導(dǎo)致負載失衡(因為大部分情況下，都是很多人用同一個公網(wǎng) IP)。

所以，Session 共享就成為了這個問題目前主流的解決方案了。

2.Session共享

2.1 創(chuàng)建工程

首先 創(chuàng)建一個 Spring Boot 工程，引入 Web、Spring Session、Spring Security 以及 Redis:

創(chuàng)建成功之后，pom.xml 文件如下：

<dependency>     <groupId>org.springframework.boot</groupId>     <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency>     <groupId>org.springframework.boot</groupId>     <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency>     <groupId>org.springframework.boot</groupId>     <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>     <groupId>org.springframework.session</groupId>     <artifactId>spring-session-data-redis</artifactId> </dependency>

2.2 配置

spring.redis.password=123 spring.redis.port=6379 spring.redis.host=127.0.0.1  spring.security.user.name=javaboy spring.security.user.password=123  server.port=8080

配置一下 Redis 的基本信息;Spring Security 為了簡化，我就將用戶名密碼直接配置在 application.properties  中了，最后再配置一下項目端口號。

2.3 使用

配置完成后 ，就可以使用 Spring Session 了，其實就是使用普通的 HttpSession ，其他的 Session 同步到 Redis  等操作，框架已經(jīng)自動幫你完成了：

@RestController public class HelloController {     @Value("${server.port}")     Integer port;     @GetMapping("/set")     public String set(HttpSession session) {         session.setAttribute("user", "javaboy");         return String.valueOf(port);     }     @GetMapping("/get")     public String get(HttpSession session) {         return session.getAttribute("user") + ":" + port;     } }

考慮到一會 Spring Boot 將以集群的方式啟動 ，為了獲取每一個請求到底是哪一個 Spring Boot  提供的服務(wù)，需要在每次請求時返回當前服務(wù)的端口號，因此這里我注入了 server.port 。

接下來 ，項目打包：

打包之后，啟動項目的兩個實例：

java -jar session-4-0.0.1-SNAPSHOT.jar --server.port=8080 java -jar session-4-0.0.1-SNAPSHOT.jar --server.port=8081

然后先訪問 localhost:8080/set 向 8080 這個服務(wù)的 Session  中保存一個變量，第一次訪問時會自動跳轉(zhuǎn)到登錄頁面，輸入用戶名密碼進行登錄即可。訪問成功后，數(shù)據(jù)就已經(jīng)自動同步到 Redis 中 了 ：

然后，再調(diào)用 localhost:8081/get 接口，就可以獲取到 8080 服務(wù)的 session 中的數(shù)據(jù)：

此時關(guān)于 session 共享的配置就已經(jīng)全部完成了，session 共享的效果我們已經(jīng)看到了。

2.4 Security 配置

Session 共享已經(jīng)實現(xiàn)了，但是我們發(fā)現(xiàn)新的問題，在Spring Boot + Vue 前后端分離項目，如何踢掉已登錄用戶?一文中我們配置的  session 并發(fā)管理失效了。

也就是說，如果我添加了如下配置：

protected void configure(HttpSecurity http) throws Exception {     http.authorizeRequests().anyRequest()             ...             .sessionManagement()             .maximumSessions(1)             .maxSessionsPreventsLogin(true); }

現(xiàn)在這個配置不起作用，用戶依然可以在多個瀏覽器上同時登錄。

這是怎么回事呢?

在該文中，我們提到，會話注冊表的維護默認是由 SessionRegistryImpl 來維護的，而 SessionRegistryImpl  的維護就是基于內(nèi)存的維護?，F(xiàn)在我們雖然啟用了 Spring Session+Redis 做 Session 共享，但是 SessionRegistryImpl  依然是基于內(nèi)存來維護的，所以我們要修改 SessionRegistryImpl 的實現(xiàn)邏輯。

修改方式也很簡單，實際上 Spring Session 為我們提供了對應(yīng)的實現(xiàn)類  SpringSessionBackedSessionRegistry，具體配置如下：

@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {     @Autowired     FindByIndexNameSessionRepository sessionRepository;     @Override     protected void configure(HttpSecurity http) throws Exception {         http.authorizeRequests().anyRequest()                 ...                 .sessionManagement()                 .maximumSessions(1)                 .maxSessionsPreventsLogin(true)                 .sessionRegistry(sessionRegistry());     }     @Bean     SpringSessionBackedSessionRegistry sessionRegistry() {         return new SpringSessionBackedSessionRegistry(sessionRepository);     } }

我們在這里只需要提供一個 SpringSessionBackedSessionRegistry 的實例，并且將其配置到 sessionManagement  中去即可。以后，session 并發(fā)數(shù)據(jù)的維護將由 SpringSessionBackedSessionRegistry 來完成，而不是  SessionRegistryImpl，如此，我們關(guān)于 session 并發(fā)的配置就生效了，在集群環(huán)境下，用戶也只可以在一臺設(shè)備上登錄。

為了讓我們的案例看起更完美一些，接下來我們來引入 Nginx ，實現(xiàn)服務(wù)實例自動切換。

3.引入 Nginx

很簡單，進入 Nginx 的安裝目錄的 conf 目錄下(默認是在/usr/local/nginx/conf)，編輯  nginx.conf 文件:

在這段配置中：

1. upstream 表示配置上游服務(wù)器

2. javaboy.org 表示服務(wù)器集群的名字，這個可以隨意取名字

3. upstream 里邊配置的是一個個的單獨服務(wù)

4. weight 表示服務(wù)的權(quán)重，意味者將有多少比例的請求從 Nginx 上轉(zhuǎn)發(fā)到該服務(wù)上

5. location 中的 proxy_pass 表示請求轉(zhuǎn)發(fā)的地址，/ 表示攔截到所有的請求，轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)到剛剛配置好的服務(wù)集群中

6. proxy_redirect 表示設(shè)置當發(fā)生重定向請求時，nginx 自動修正響應(yīng)頭數(shù)據(jù)(默認是 Tomcat 返回重定向，此時重定向的地址是  Tomcat 的地址，我們需要將之修改使之成為 Nginx 的地址)。

配置完成后，將本地的 Spring Boot 打包好的 jar 上傳到 Linux ，然后在 Linux 上分別啟動兩個 Spring Boot  實例：

nohup java -jar session-4-0.0.1-SNAPSHOT.jar --server.port=8080 & nohup java -jar session-4-0.0.1-SNAPSHOT.jar --server.port=8081 &

其中

• nohup 表示當終端關(guān)閉時，Spring Boot 不要停止運行

• & 表示讓 Spring Boot 在后臺啟動

配置完成后，重啟 Nginx：

/usr/local/nginx/sbin/nginx -s reload

Nginx 啟動成功后，我們首先手動清除 Redis 上的數(shù)據(jù)，然后訪問192.168.66.128/set 表示向 session  中保存數(shù)據(jù)，這個請求首先會到達 Nginx 上，再由 Nginx 轉(zhuǎn)發(fā)給某一個 Spring Boot 實例：

如上，表示端口為 8081 的 Spring Boot 處理了這個 /set 請求，再訪問 /get 請求：

可以看到，/get 請求是被端口為 8080 的服務(wù)所處理的。

到此，關(guān)于“Spring Security怎么處理Session 共享”的學習就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續(xù)學習更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>