《SpringSecurity in Action》二: 基于redis实现session共享

已于 2022-04-25 12:11:45 修改
阅读量3.1k 收藏
点赞数
分类专栏: SpringSecurity 文章标签: java 安全 spring
于 2022-04-24 19:10:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shangcunshanfu/article/details/124389554
版权

文章目录

1 概述

这一篇基于《SpringSecurity in Action》一: 基于Session实现登陆认证的简单实现

SpringSecurity基于session实现登陆认证时,有一个问题就是无法实现分布式部署,因为session是存储在某一个节点(或是某一个服务副本)的内存里的。如有这么一个用户服务,有三个副本,当进行登陆时,登陆请求打在了副本1,而进行用户列表请求时,请求打在了副本2,这时副本2是没有副本1内存中的session信息的,所以请求会失败。这当然是一个不折不扣的BUG。
多副本问题

2 方案

针对该问题,目前有三种解决方案:

  • Session固定: 看有些地方也叫Session粘滞。这里的Session固定跟固定Session攻击可不是一个概念,这里是指根据算法,把某个用户登陆时,请求打在了哪个副本上,以后就让它的请求永远都打在这个副本上,这样就不会出现登陆打在副本1,其它接口打在副本2的情况了。这种方案的缺点就是可能会造成负载不均衡。

  • Session同步: 这种方案是当登陆完成后,把副本1里的session对接同步到其它副本上去,一看就知道会面临数据一致性问题,而且副本多的话,这个问题会越发明显。

  • Session共享: 这种方案是当登陆完成后,处理登陆请求的那个副本,把sessin信息放到一个共享的存储位置,其它副本可以从这个位置读取到某用户的session信息。这个方案会不会存在数据一致性问题,就在于向共享存储写session信息时,是同步的还是异步的。如果是异步的,就会存在数据一致性问题。不过话又说回来,我们为什么要把这个操作设计成异步呢?完全没有必要没有困难制造困难也要上嘛。使用内存型的共享存储,同步延时可以很小的嘛。相信不会有人把业务服务器部署在北京,然后共享存储部署了深圳吧。

session固定示意图
在这里插入图片描述
session同步示意图
在这里插入图片描述
session共享示意图
在这里插入图片描述

3 方案选择

目前使用比较多的方案是Session共享,Session固定跟Session同步两种方案我个人并没有实践过,所以这里只说Session共享这一种方案。

虽然Session共享的原理很简单,但我们依然没有必须自己去实现一套这样的方案来,Spring已经提供了这种方案的实现。对应的是 spring-session-data-redis.
主要依赖

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>
    </dependencies>

spring-session-data-redis依赖引入后,SpringBoot会自动整合以Redis为共享存储的Session共享方案,要是不放心,也可以再加个注解@EnableRedisHttpSession在启动类或是其它配置类上。

配置文件

spring:
  redis:
    host: 256.73.82.27 # 地址,这个ip是瞎写的,第一位是256就不可能的对吧
    port: 6379 # 端口
    database: 1 # 数据库索引
    password: redis

  session:
    store-type: redis

这样,引入依赖,加上配置项,就差不多完成Session共享的开发工作了。接下来测试一下。启动项目,登陆一下,效果如下:
在这里插入图片描述

登陆完成后,在redis中会出现四条记录,这表示Session已经共享到了redis中。

我是在IDEA中进行测试的,把我的测试过程说一下:

  • 启动第一个服务,端口号是8765,在8765这个服务上进行登陆操作。
  • 启动第二个服务,端口号是8766,在8766上查询业务接口。
  • 在8766这个服务上能得到正确响应。

不要担心,在本机IDEA上,把同一个服务启起来两个端口号,这跟分布式部署在本质上是一模一样的。

shangcunshanfu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring security,如何解决Session共享问题
weixin_40991408的博客
05-25 1134
Springboot +spring security,如何解决Session共享问题
从零开始java安全权限框架篇(七):spring security整合Redis实现session共享
qq_35755863的博客
09-09 4434
目录 一:spring security整合spring session实现session共享 二:代码 1.springsecurity的配置文件 2.自定义的session管理 三:获取到当前的所有用户以及踢出一个用户 四:用户锁定 1.我们先来看看锁定的时序图 2.流程解析 3.代码 (1)登录流程验证验证 (2)登录失败加锁 五...
11-SpringSecuritySession共享
Heartsuit的博客
01-14 789
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 分布式集群架构下的 Session 共享一般有以下几种实现方案: Session 复制 集群中任一服务器上的 Session 发生变化(增删改),该节点会把这个 Session 的所有内容序列化,然后广播给所有其它节点,从而实现 Session 同步。 Session 粘滞 利用 Ngnix 负载均衡策略中的 ip_hash 机制,将某个 ip 的所有请求都定向到同一台服务
spring-security简单使用与集成redis共享session(一)
王坤的博客
07-07 1634
一、搭建springboot项目 二、编写基础代码 1.Auth权限实体类 public class Auth implements Serializable { private static final long serialVersionUID = 1L; /** * 大模块code,例如咨询类功能 */ private String resourceCode; /** * 细化功能,例如查询咨询列表 */ p
10-SpringBoot工程中Spring Security应用实践,2024年最新java书籍pdf百度网盘
最新发布
2401_84102455的博客
04-11 326
给大家送一个小福利附高清脑图,高清知识点讲解教程,以及一些面试真题及答案解析。送给需要的提升技术、准备面试跳槽、自身职业规划迷茫的朋友们。一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!会持续更新**如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)[外链图片转存中…(img-C746nJ8Q-1712766883445)]
springSession+springSecurity结合使用实现redis管理session
热门推荐
nb7474的博客
03-20 2万+
目录1. pom.xml2. 进行springsessionredis配置3. session配置4. 查看redis5. 获取redis中的当前用户总结 springboot中使用security进行登录及权限控制可以查看之前的文章,springboot中使用spring-security进行登陆控制 此篇主要介绍在已经使用springsecuriy的项目中如何集成springsessi...
SpringSecurity-12-Redis实现基于session共享登录方案
zhoubangbang1的博客
03-31 513
SpringSecurity-12-Redis实现基于session共享登录方案简述 如果我们使用单机版本的Session存储身份信息的时候,如果服务器挂掉,那么服务就无法使用了。如果我们将项目部署到CD两台服务器上,Session就无法保持一致。如果用户user第一次访问C服务器,然后再次请求的时候访问D服务器,但是B没有存储user的session,这样用户就需要重新登录。所以为了解决这种情况,我们可以将session放到redis中,以后用户请求都可以从redis中获取session,从而保持登录二点
SPRING 5.0.8 MYBATIS 3.4.6 STRUTS 2.5.16 REDIS 整合jar包
02-18
整合SSM和Redis时,首先需要在Spring配置文件中定义Redis的连接池和Template,然后通过Spring的AOP支持,实现全局的数据缓存策略。Struts 2的拦截器可以用来拦截请求,判断是否需要从Redis中读取数据,或者在操作...
Manning.Spring.in.Action.4th.Edition.2014.11.epub
06-25
Praise for the Third Edition of Spring in Action Preface Acknowledgments About this Book 1. Core Spring Chapter 1. Springing into action 1.1. Simplifying Java development 1.1.1. Unleashing the power ...
Struts + Spring + Hibernate完成用户登陆
12-21
例如,使用Spring Security实现更复杂的权限控制,或者通过Redis缓存减轻数据库压力。 综上所述,Struts、Spring和Hibernate的整合为用户登录功能提供了强大支持,使得开发者可以专注于业务逻辑,而无需关心底层...
ssh发布公告功能的实现
05-09
- 使用Spring Security或Apache Shiro等安全框架,实现用户登录和权限验证,确保只有特定角色的用户才能进行公告的编辑和删除。 **6. 页面交互**: - 使用AJAX技术实现页面异步更新,比如在编辑公告后无需刷新...
SpringCloud实现Redis在各个微服务的Session共享问题
08-27
Redis是运行在内存中,查取速度很快。本文重点给大家介绍SpringCloud实现Redis在各个微服务的Session共享,感兴趣的朋友一起看看吧
java网上订餐系统(SSH)
07-07
Java网上订餐系统是一款基于SSH框架开发的应用程序,它整合了Spring、Struts和Hibernate三大核心技术,为用户提供了一个便捷的在线订餐平台。这个系统包括前端用户界面、后台管理系统以及与数据库的交互等多个组成...
Spring Security in Action 第一、二章 第一个Spring Security项目的建立以及基本
Learning_xzj的博客
02-12 903
Spring Boot是作为Spring框架的应用开发的一个进化阶段出现的。与其说你需要编写所有的配置,不如说Spring Boot已经预设了一些配置,所以你可以只覆盖那些与你的实现不匹配的配置。我们也称这种方法为 “惯例–配置”。在这种开发应用程序的方式存在之前,开发人员为他们必须创建的所有应用程序反复编写几十行代码。在过去,当我们以单体方式开发大多数架构时,这种情况不太明显。在单体架构下,你只需要在开始时写一次这些配置,之后就很少需要再碰它们。当面向服务的软件架构发展起来后,我们开始感受到为配置每个服务
Spring Security(四)基于redis的分布式认证鉴权解决方案
douya2016的博客
08-25 1988
项目介绍 方案介绍 ​ 基于数据库的认证鉴权方式,登录之后会产生一个session存储在内存之中,然后将sessionId返回给客户端,后续客户端请求资源时,会将sessionId携带上,服务端根据sessionId判断用户的登录状态,如果用户登录过,则放行,如果没有登录,则会被拦截,跳转到登录页面重新登录,但这种将登录状态以及信息放在内存中的方式会带来两个问题: 由于session产生后放在服务器的内存之中,服务器因为某种原因(宕机或者更新)重启之后,则所有的session都会丢失,那么登录过的所有用户
Spring Security in Action 第七章 配置授权:限制访问
Learning_xzj的博客
01-19 768
在本章中,我们将讨论授权。授权是一个过程,在这个过程中,系统决定一个被识别的客户是否具有访问所请求资源的权限。
springboot+springsecurity+springsession实现session共享
LLstudyJava的博客
06-22 1737
作为一个稀有的Java妹子,所写的所有博客都只是当作自己的笔记,留下证据自己之前是有用心学习的~哈哈哈哈(如果有不对的地方,也请大家指出,不要悄悄咪咪的不告诉我) 一、前言 在工作中遇到多系统时,比如oa人事相关的是独立的系统,在其他系统登录后,在这个系统不应该再让用户重新登录,想实现一次登录,多系统session共享,有很多种实现方式,针对web业务可以使用springsession,如果是移动端业务可以使用jwt的token,今天主要记录spring session。 二、jar包准备 在此之前已经整合
配置spring-security对redissession的同步处理,通过sessionRegistry统计在线用户
Janche的博客
04-15 8434
问题描述: 登录用户的sessionredis失效、清除或者用户退出系统后,系统中的sessionRegistry中session依然存在,并未同步失效 系统架构: Springboot2 + SpringSecurity + spring-session-data-redis + Redis 1. Redis配置(当然可以只加注解,使用默认配置) /** redis配置 */ @Confi...
Spring Security 要怎么处理 session 共享
java3456的博客
06-16 2801
今天我们就来看看集群化部署,Spring Security 要如何处理 session 并发。 1.集群会话方案 在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,被 Nginx 转发到 Tomcat A 上,然后在 Tomcat A 上往 session 中保.
springboot中通过spring sessionredis实现session共享
04-01
在Spring Boot中,可以使用Spring SessionRedis实现Session共享。Spring Session是一个基于Spring的会话管理解决方案,它提供了一种统一的方式来管理用户会话,并且支持将会话存储在不同的后端存储中,包括Redis。 下面是实现Spring SessionRedis的步骤: 1. 添加依赖 ```xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> ``` 2. 配置Redis连接信息 在application.properties或application.yml文件中添加以下配置: ``` spring.redis.host=127.0.0.1 spring.redis.port=6379 spring.redis.password= ``` 3. 配置Session存储方式 在配置类中添加以下代码: ```java @EnableRedisHttpSession public class RedisSessionConfig { } ``` 4. 测试Session共享 在多个应用程序中使用相同的Session ID进行测试,如果它们可以共享同一个会话,则已成功实现Session共享。 通过Spring SessionRedis实现Session共享,可以在多个实例之间共享用户会话,从而实现更好的负载均衡和可扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值