Common Configurations
本部分包含适用于所有或大多数 Spring Session 模块的常见配置。它包含以下使用案例的配置示例:
-
我想 provide a Spring Session implementation of the
ReactiveSessionRepository
了解 {spring-security-ref-docs}/reactive/authentication/concurrent-sessions-control.html[并行会话控制]。
Changing How Session IDs Are Generated
默认情况下,Spring Session 使用 UuidSessionIdGenerator
,它使用 java.util.UUID
生成会话 ID。在某些情况下,包括其他字符以增加熵可能会更好,或者您可能希望使用其他算法来生成会话 ID。为此,您可以提供一个自定义 SessionIdGenerator
Bean:
-
Java
@Bean
public SessionIdGenerator sessionIdGenerator() {
return new MySessionIdGenerator();
}
class MySessionIdGenerator implements SessionIdGenerator {
@Override
public String generate() {
// ...
}
}
在公开您的 SessionIdGenerator
Bean 之后,Spring Session 将使用它来生成会话 ID。
如果您正在手动配置您的 SessionRepository
Bean(例如,不使用 @EnableRedisHttpSession
),则可以将 SessionIdGenerator
直接设置为 SessionRepository
实现:
SessionIdGenerator
directly into SessionRepository
implementation-
Java
@Bean
public RedisSessionRepository redisSessionRepository(RedisOperations redisOperations) {
RedisSessionRepository repository = new RedisSessionRepository(redisOperations)
repository.setSessionIdGenerator(new MySessionIdGenerator());
return repository;
}
Customizing Session Cookie
设置 Spring Session 后,您可以通过公开 CookieSerializer
(作为 Spring Bean)来自定义会话 Cookie 的写入方式。Spring Session 附带 DefaultCookieSerializer
。当您使用诸如 @EnableRedisHttpSession
的配置时,将 DefaultCookieSerializer
作为 Spring Bean 公开会增强现有配置。以下示例显示如何自定义 Spring Session 的 Cookie:
Unresolved include directive in modules/ROOT/pages/configuration/common.adoc - include::example$spring-session-samples/spring-session-sample-javaconfig-custom-cookie/src/main/java/sample/Config.java[]
1 | 我们自定义 cookie 名称,使其为 JSESSIONID 。 |
2 | 我们自定义 cookie 路径,使其为 / (而不是默认的上下文根)。 |
3 | 我们自定义域名模式(正则表达式),使其为 ^.?\\.(\\w\\.[a-z]+)$ 。这可以在多个域和应用程序之间共享会话。如果正则表达式不匹配,则不会设置域,并且会使用现有的域。如果正则表达式匹配,则第一个 grouping 将用作域。这意味着对 [role="bare"][role="bare"]https://child.example.com 的请求将域设置为 example.com 。然而,对 [role="bare"][role="bare"]http://localhost:8080/ 或 [role="bare"][role="bare"]https://192.168.1.100:8080/ 的请求会使 cookie 未设置,因此在开发中无需任何更改即可继续使用。 |
你应当只匹配有效的域名字符,因为域名会反映在响应中。这样做可以防止恶意用户实施攻击,比如 HTTP Response Splitting。
Configuration Options
以下配置选项可供使用:
-
cookieName
:要使用的 cookie 名称。默认:SESSION
。 -
useSecureCookie
:指定是否应使用安全 cookie。默认:创建时使用HttpServletRequest.isSecure()
的值。 -
cookiePath
:cookie 的路径。默认:上下文根。 -
cookieMaxAge
:指定创建会话时要设置的 cookie 的最大生存期。默认:-1
,表示在关闭浏览器时应删除 cookie。 -
jvmRoute
:指定要追加到会话 ID 中并在 cookie 中包含的后缀。用于标识应路由到哪个 JVM 来获得会话关联性。对于某些实现(即 Redis),此选项不提供性能优势。然而,它可以帮助跟踪特定用户的日志。 -
domainName
:允许指定要用于 cookie 的特定域名。这个选项易于理解,但通常需要开发环境和生产环境之间的不同配置。将domainNamePattern
视为一种替代方案。 -
domainNamePattern
:不区分大小写的模式,用于从HttpServletRequest#getServerName()
中提取域名。模式应提供一个单独的分组,该分组用于提取 cookie 域的值。如果正则表达式不匹配,则不会设置域,并且会使用现有的域。如果正则表达式匹配,则第一个 grouping 将用作域。 -
sameSite
:用于SameSite
cookie 指令的值。若要禁用SameSite
cookie 指令的序列化,可以将此值设为null
。默认:Lax
-
rememberMeRequestAttribute
:表示记住密码登录的请求属性名称。如果已指定,将以Integer.MAX_VALUE
形式写入 cookie。
如果您正在使用 |
Custom Cookie in WebFlux
您可以通过将 WebSessionIdResolver
作为 Spring Bean 公开,在 WebFlux 应用程序中自定义会话 Cookie 的写入方式。Spring Session 默认使用 CookieWebSessionIdResolver
。以下示例显示如何自定义 Spring Session 的 Cookie:
Unresolved include directive in modules/ROOT/pages/configuration/common.adoc - include::example$spring-session-samples/spring-session-sample-boot-webflux-custom-cookie/src/main/java/sample/CookieConfig.java[]
1 | 我们自定义 cookie 名称,使其为 JSESSIONID 。 |
2 | 我们自定义 cookie 路径,使其为 / (而不是默认的上下文根)。 |
3 | 我们自定义 SameSite cookie 指令,使其为 Strict 。 |
Providing a Spring Session implementation of ReactiveSessionRegistry
Spring Session 提供与 Spring Security 的集成,以支持其响应式并发会话控制。这允许限制单个用户同时可以拥有的活动会话的数量,但是,与默认 Spring Security 支持不同,它还可以群集环境中运行。这通过提供 Spring Security 的 ReactiveSessionRegistry
接口的 SpringSessionBackedReactiveSessionRegistry
实现来完成。
-
Java
@Bean
public <S extends Session> SpringSessionBackedReactiveSessionRegistry<S> sessionRegistry(
ReactiveSessionRepository<S> sessionRepository,
ReactiveFindByIndexNameSessionRepository<S> indexedSessionRepository) {
return new SpringSessionBackedReactiveSessionRegistry<>(sessionRepository, indexedSessionRepository);
}
有关使用 ReactiveSessionRegistry
的更多方法,请参阅 {spring-security-ref-docs}/reactive/authentication/concurrent-sessions-control.html[Spring Security 并发会话控制文档]。您还可以查看示例应用程序 here。