Spring-Session扩展之单一用户登录

最近碰到这样一个需求——内部网站，每个帐号只允许登录一次，该帐号的再次登录会将前一个登录用户踹下来。

1. 思路

1. 基本原理是使用cookie记录和传递必要的登录用户信息(例如唯一性标识)，后台存储Session时以用户的标志性信息作为key.
2. 登录时通过查询数据库获取用户唯一性标识(一般是userCode)，作为修改Redis中存储时的key值. 返回客户端时，该唯一性标识和登录时间作为cookie返回回去，以便下次带回。
3. 登出时删除这个session, 因为单一用户登录，所以只要确保被踹下去的那位无法完整走完登出请求即可。
4. Spring-session获取sessionId 来作为key去redis中取session时， 我们就需要从返回的cookie中取出唯一性标识交给Spring-Session，让它拿着这个标识去Redis里面取。

2. 准备

1. 因为有分布式部署的需求, 所以我们使用了Spring-Session来Session的管理. 具体的实现原理可以参见本人的之前的一篇博客。
2. 现在的关键问题就成了 Spring-Session是以怎样的Key来存储我们的Session? 只要能弄明白这其中的细节，以上思路就会成为可能性。

3. 分析

经过一番探索，我们最终可以发现 Spring-Session是使用默认的UUID来作为Key值来将Session存储到Redis容器中的。为了没有看过源码的同学不至于过于迷糊，我这里稍微贴一点相关代码。

// ---------- RedisSession的构造函数
RedisSession() {
    // 关键就是下面这句了, RedisSession以一个MapSession作为backup.
    // 另外JdbcSession也是以一个MapSession作为backup.
    this(new MapSession());
    this.delta.put(CREATION_TIME_ATTR, getCreationTime());
    this.delta.put(MAX_INACTIVE_ATTR, getMaxInactiveIntervalInSeconds());
    this.delta.put(LAST_ACCESSED_ATTR, getLastAccessedTime());
    this.isNew = true;
    flushImmediateIfNecessary();
}

// ---------- MapSession的构造函数
public MapSession() {
    // 这里的UUID.randomUUID().toString()就是默认的Redis中的键值; 
    // 当然其实Spring-Session将Session存入Redis时会给这个值附加一些前后缀. 不过与我们本次关注的重点关系不大. 就不再深入讲解了.
    this(UUID.randomUUID().toString());
}

public MapSession(String id) {
    // 所以上面生成的uuid最终是被存储在mapSession的id字段里.
    this.id = id;
}

现在的问题就成了我们怎么去修改这个key？, 因为这个key显然是符合我们的需求(话也别说那么死, 其实我们可以记录当前登录的用户和该uuid的映射关系. 不过为了后期查询redis数据方便和快速定位问题, 这个方法直接被我略过了)。

4. 存储时的SessionId修改

继续探究源码, 我们会发现以上的MapSession实例以cached字段名存储在RedisSession实例中的，而我们通过request.getSession()获取到的实例，我们无法通过常规途径修改该id值， 所以我们就需要剑走偏锋了, 这里提供一个使用Mybatis内置类来达到此目的的方案.

// HttpSession session, HttpServletRequest request
MetaObject metaSession = SystemMetaObject.forObject(session);
metaSession.setValue("session.cached.id", WebUtils.findParameterValue(request, "userCode"));

以上就是完成了存储端session id的更改。现在就剩下获取端session id 的修改。

5. 提取时的SessionId修改

让我们继续探索源码， 最终我们可以发现 是CookieHttpSessionStrategy实现的 getRequestedSessionId 被用来作为提取对应存储端session id 的key . 即 getRequestedSessionId的返回值需要与以上我们存储的session id 一致就能达到了我们的目的——以用户唯一性标识作为key来存储和获取session信息。

还好Spring-Session给我们留出了足够的扩展, 这次我们索要做的就是覆写默认实现类CookieHttpSessionStrategy中的getRequestedSessionId方法的, 将用户标志性信息作为返回值, 这里我们使用了设计模式之一的Decorator模式(关于这个模式, 本人有一些反思之后的自我想法, 有时间写一篇博客讨论下), CookieHttpSessionStrategyDecorator 在该类中覆写getRequestedSessionId方法.

6. 注册我们自定义的类

还剩下的工作就是将我们上面编写的CookieHttpSessionStrategyDecorator注入到SessionRepositoryFilter中，这一步非常简单。

RedisHttpSessionConfiguration类的基类SpringHttpSessionConfiguration类提供了注入HttpSessionStrategy类的set方法setHttpSessionStrategy, 因此我们只需要将其我们自定义的类注册到Spring容器中， 注入工作Spring就会帮我们完成。

7. 完善

至此，关键性的步骤已经基本完成， 剩下的就是：
1. 前端登录时, 删除掉之前用户相关的cookie信息(目前不完美)
2. 后端处理登录的代码里通过request.getSession(true)显式要求必须获取到session, 然后按照上面所说反射方式修改其id, 构建自定义的RequestUser类实例作为session值, 然后返回当前登录用户的标志性信息和本次登录时间作为cookie进行返回, 以便该用户请求下次带着这些信息返回.
3. 用户登出时, 只需要从上面的RequestUser类实例中删除该登录用户的登录信息, 并移除上面的cookie信息(当前登录用户的标志性信息和本次登录时间)
4. 不过既然只允许单用户登录，我们这里应该是可以直接将该session销毁的. 这样做的话，切记在LoginFilter对登录的请求进行控制, 不要使得被踹掉的用户可以完成登出的请求。
5. 按照前文的优化——可以只采用单一存储最新登录信息，所以可以修改为所有的请求直接与最新的登陆信息进行判断，不相等即代表登录过时。
6. 我们之前有一步操作是在登录时将cookie清空，这样会造成一个问题：每次用户登录，其实我们都新生成了一个session, 并在其中存储了用户信息和登录信息。并将该Session作为value将之前那个session顶替掉(之所以可以顶替，就是因为我们前面所实现的以用户key作为redis的键). 那么之前登录的用户请求时，当然就无法和登录信息匹配了，这个虽然在需求上是达到了目的，但是与我们的预期可是有偏差的。
7. 针对上一个问题，我们在登录时让前端传递过来userCode(用_s标注), 然后在getRequestedSessionId 时先找_s对应的, 找不到再从cookie里找, 因为只有在登录界面 _s才会出现在请求数据。

8. 思考

由此引申出一个问题，如果不是使用Spring-Session, 使用单tomcat的情况下， 应该如何解决上述需求？关于这个我只阅读了一下Tomcat里的相关实现， 做了简单的分析，有需要的同学可以自己完善。

基本思路是也是创建一个Filter, 仿造Spring-Session, 将该Filter作为过滤链的的第一个Filter,

1. 在 Filter中 的init 方法中接收传入的FilterConfig中存储的ServletContext ( filterConfig.getServletContext();)

2. 然后在相应的 doFilter 实现中, 将 sc.getSessionCookieConfig() 中的 name 字段的值使用反射的方式进行修改, 这里需要注意的是如果像上面那样使用Mybatis的MetaObject是不行的, 因为Tomcat对javax.servlet.SessionCookieConfig的setName方法的实现会有这样的一行, 所以这里需要参考common-lang3中的FieldUtils.writeField实现来直接针对字段本身来进行反射方式修改值

      @Override
      public void setName(String name) {
          // 这一行判断也决定只有在启动前调用此方法才生效, 之后再调用直接就抛出异常了. 所以依然得剑走偏锋.
          if (!context.getState().equals(LifecycleState.STARTING_PREP)) {
              throw new IllegalStateException(sm.getString(
                      "applicationSessionCookieConfig.ise", "name",
                      context.getPath()));
          }
          this.name = name;
      }

3. 其他的基本和在spring-session类似了

   1. 登录时将当前用户的标识性信息,当前时间作为cookie返回给前台,
   2. 登出时将该用户对应的登录信息删除,
   3. 相关信息被从Session中移除.
4. 然后就是LoginFilter的判断了.

9. 补充

1. 如果认为以上cookie的安全性问题, 可以采用加盐，加密的方式缓解。

2. 忘记了一个问题，就是”根据RFC 2109中的规定，在Cookie中只能包含ASCII的编码”; 所以我们在上述进行cookie服务端写入时需要进行一次URLEncode.encode编码, 这里给出核心实现

   public final class CookieHttpSessionStrategyDecorator implements MultiHttpSessionStrategy,
           HttpSessionManager {
   
       private final CookieHttpSessionStrategy delegate = new CookieHttpSessionStrategy();
   
       @Override
       public String getRequestedSessionId(HttpServletRequest request) {
           // 因为我们是以当前用户Code作为key进行存储, 所以我们取的时候也应该如此
   
           // 这里的返回值被用来从Redis中取出对应的session; 我们在这里取出的是用户编号
           return CookieHttpSessionStrategyDecorator.getCurrentUserCode(request);
       }
   
       public static final String getCurrentUserCode(HttpServletRequest request) {
           final Cookie userCookie = getCookie(request,
                   ConstantsUtil.COOKIE_SPRING_SESSION_DEFAULT_ALIAS_PARAM_NAME);
           if (null == userCookie) {
               return null;
           }
           final String userName = userCookie.getValue();
           return userName;
       }
   
       public static void modifySesssionIdToUserName(HttpSession session, HttpServletRequest request) {    
           MetaObject metaSession = SystemMetaObject.forObject(session);
   
           final String userCode = WebUtils.findParameterValue(request,
                   ConstantsUtil.COOKIE_SPRING_SESSION_DEFAULT_ALIAS_PARAM_NAME);
           // 这里修改之后的值会作为key来进行redis的键值对存储.
           // 所以这里是 userCode被设置作为 key 值, 这样就和上面getRequestedSessionId的返回值对应上了
           metaSession.setValue("session.cached.id", encodeUserCode(userCode));
       }
   
       public static void writeCookieForSpringSessionDirect(HttpServletRequest request,
               HttpServletResponse response, RequestUserLocationInfo rulInfo, RequestUser dataMap) {
           // user_code
           Cookie cookie = new Cookie(ConstantsUtil.COOKIE_SPRING_SESSION_DEFAULT_ALIAS_PARAM_NAME,
                   encodeUserCode(dataMap.getUserCode()));
           // 浏览器关闭即销毁
           cookie.setMaxAge(-1);
           cookie.setPath("/");
           response.addCookie(cookie);
   
           //create_time
           cookie = new Cookie(ConstantsUtil.COOKIE_SPRING_CREATED_TIME_NAME, Long.toString(rulInfo
                   .getCreatedTime()));
           cookie.setMaxAge(-1);
           cookie.setPath("/");
           response.addCookie(cookie);
   
       }
   
       private static String encodeUserCode(final String userCode_originValue) {
           String userCode;
           try {
               // 根据RFC 2109中的规定，在Cookie中只能包含ASCII的编码
               userCode = URLEncoder.encode(userCode_originValue, "UTF-8");
           } catch (UnsupportedEncodingException e) {
               throw new RuntimeException(e);
           }
   
           return userCode;
       }
   
   }