Common Configurations

本部分包含适用于所有或大多数 Spring Session 模块的常见配置。它包含以下使用案例的配置示例:

Changing How Session IDs Are Generated

默认情况下,Spring Session 使用 UuidSessionIdGenerator,它使用 java.util.UUID 生成会话 ID。在某些情况下,包括其他字符以增加熵可能会更好,或者您可能希望使用其他算法来生成会话 ID。为此,您可以提供一个自定义 SessionIdGenerator Bean:

Changing How Session IDs Are Generated
  • Java

@Bean
public SessionIdGenerator sessionIdGenerator() {
    return new MySessionIdGenerator();
}

class MySessionIdGenerator implements SessionIdGenerator {

    @Override
    public String generate() {
        // ...
    }

}

在公开您的 SessionIdGenerator Bean 之后,Spring Session 将使用它来生成会话 ID。

如果您正在手动配置您的 SessionRepository Bean(例如,不使用 @EnableRedisHttpSession),则可以将 SessionIdGenerator 直接设置为 SessionRepository 实现:

Setting SessionIdGenerator directly into SessionRepository implementation
  • Java

@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
    RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
    repository.setSessionIdGenerator(new MySessionIdGenerator());
    return repository;
}

设置 Spring Session 后,您可以通过公开 CookieSerializer(作为 Spring Bean)来自定义会话 Cookie 的写入方式。Spring Session 附带 DefaultCookieSerializer。当您使用诸如 @EnableRedisHttpSession 的配置时,将 DefaultCookieSerializer 作为 Spring Bean 公开会增强现有配置。以下示例显示如何自定义 Spring Session 的 Cookie:

Unresolved include directive in modules/ROOT/pages/configuration/common.adoc - include::example$spring-session-samples/spring-session-sample-javaconfig-custom-cookie/src/main/java/sample/Config.java[]
1 我们自定义 cookie 名称,使其为 JSESSIONID
2 我们自定义 cookie 路径,使其为 /(而不是默认的上下文根)。
3 我们自定义域名模式(正则表达式),使其为 ^.?\\.(\\w\\.[a-z]+)$。这可以在多个域和应用程序之间共享会话。如果正则表达式不匹配,则不会设置域,并且会使用现有的域。如果正则表达式匹配,则第一个 grouping 将用作域。这意味着对 [role="bare"][role="bare"]https://child.example.com 的请求将域设置为 example.com。然而,对 [role="bare"][role="bare"]http://localhost:8080/ 或 [role="bare"][role="bare"]https://192.168.1.100:8080/ 的请求会使 cookie 未设置,因此在开发中无需任何更改即可继续使用。

你应当只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户实施攻击,比如 HTTP Response Splitting

以下配置选项可供使用:

  • cookieName:要使用的 cookie 名称。默认: SESSION

  • useSecureCookie:指定是否应使用安全 cookie。默认:创建时使用 HttpServletRequest.isSecure() 的值。

  • cookiePath:cookie 的路径。默认:上下文根。

  • cookieMaxAge:指定创建会话时要设置的 cookie 的最大生存期。默认:-1,表示在关闭浏览器时应删除 cookie。

  • jvmRoute:指定要追加到会话 ID 中并在 cookie 中包含的后缀。用于标识应路由到哪个 JVM 来获得会话关联性。对于某些实现(即 Redis),此选项不提供性能优势。然而,它可以帮助跟踪特定用户的日志。

  • domainName:允许指定要用于 cookie 的特定域名。这个选项易于理解,但通常需要开发环境和生产环境之间的不同配置。将 domainNamePattern 视为一种替代方案。

  • domainNamePattern:不区分大小写的模式,用于从 HttpServletRequest#getServerName() 中提取域名。模式应提供一个单独的分组,该分组用于提取 cookie 域的值。如果正则表达式不匹配,则不会设置域,并且会使用现有的域。如果正则表达式匹配,则第一个 grouping 将用作域。

  • sameSite:用于 SameSite cookie 指令的值。若要禁用 SameSite cookie 指令的序列化,可以将此值设为 null。默认:Lax

  • rememberMeRequestAttribute:表示记住密码登录的请求属性名称。如果已指定,将以 Integer.MAX_VALUE 形式写入 cookie。

如果您正在使用 SpringSessionRememberMeServices 并声明一个自定义 DefaultCookieSerializer Bean,则应设置 rememberMeRequestAttribute 字段,以确保 Spring Session 依赖于会话过期而不是 Cookie 过期。为此,您可以使用以下代码片段:defaultCookieSerializer.setRememberMeRequestAttribute(SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);

您可以通过将 WebSessionIdResolver 作为 Spring Bean 公开,在 WebFlux 应用程序中自定义会话 Cookie 的写入方式。Spring Session 默认使用 CookieWebSessionIdResolver。以下示例显示如何自定义 Spring Session 的 Cookie:

Unresolved include directive in modules/ROOT/pages/configuration/common.adoc - include::example$spring-session-samples/spring-session-sample-boot-webflux-custom-cookie/src/main/java/sample/CookieConfig.java[]
1 我们自定义 cookie 名称,使其为 JSESSIONID
2 我们自定义 cookie 路径,使其为 /(而不是默认的上下文根)。
3 我们自定义 SameSite cookie 指令,使其为 Strict

Providing a Spring Session implementation of ReactiveSessionRegistry

Spring Session 提供与 Spring Security 的集成,以支持其响应式并发会话控制。这允许限制单个用户同时可以拥有的活动会话的数量,但是,与默认 Spring Security 支持不同,它还可以群集环境中运行。这通过提供 Spring Security 的 ReactiveSessionRegistry 接口的 SpringSessionBackedReactiveSessionRegistry 实现来完成。

Defining SpringSessionBackedReactiveSessionRegistry as a bean
  • Java

@Bean
public <S extends Session> SpringSessionBackedReactiveSessionRegistry<S> sessionRegistry(
        ReactiveSessionRepository<S> sessionRepository,
        ReactiveFindByIndexNameSessionRepository<S> indexedSessionRepository) {
    return new SpringSessionBackedReactiveSessionRegistry<>(sessionRepository, indexedSessionRepository);
}

有关使用 ReactiveSessionRegistry 的更多方法,请参阅 {spring-security-ref-docs}/reactive/authentication/concurrent-sessions-control.html[Spring Security 并发会话控制文档]。您还可以查看示例应用程序 here