SSO-使用Spring session解决session共享问题

最新推荐文章于 2024-05-10 11:11:56 发布
最新推荐文章于 2024-05-10 11:11:56 发布
阅读量430 收藏
点赞数
分类专栏: SSO Tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010365717/article/details/106519450
版权

1、代码实现

   <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-data-redis-reactive</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.session</groupId>
                <artifactId>spring-session-data-redis</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-test</artifactId>
                <scope>test</scope>
            </dependency>
    </dependencies>

简例:
 

@RestController
@RequestMapping(value = "/session")
public class SessionShareController {
    @Value("${server.port}")
    Integer port;
    @GetMapping(value = "/set")
    public String set(HttpSession session){
        session.setAttribute("user","wangwq8");
        return String.valueOf(port);
    }
    @GetMapping(value = "get")
    public String get(HttpSession session){
        return "用户:"+session.getAttribute("user")+",端口:"+port;
    }
}

结果:

2、Spring session整个实现流程和源码详细介绍

主要两个配置类RedisHttpSessionConfigurationSpringHttpSessionConfiguration

 

查看@EnableRedisHttpSession

@Retention(java.lang.annotation.RetentionPolicy.RUNTIME)
@Target({ java.lang.annotation.ElementType.TYPE })
@Documented
@Import(RedisHttpSessionConfiguration.class)
@Configuration
public @interface EnableRedisHttpSession {
...
}

查看RedisHttpSessionConfiguration

主要就是将操纵redis的redisTemplate放入sessionRepository中,而sessionRepository中统一规定了获取session的方法名。即可通过sessionRepository从redis里获取session。

@Configuration
@EnableScheduling
public class RedisHttpSessionConfiguration extends SpringHttpSessionConfiguration
		implements EmbeddedValueResolverAware, ImportAware {
...
}

发现其继承自SpringHttpSessionConfiguration查看

  1. 发现其session默认的策略是使用 defaultHttpSessionStrategy=new CookieHttpSessionStrategy();cookie来实现
public class SpringHttpSessionConfiguration implements ApplicationContextAware {
	private CookieHttpSessionStrategy defaultHttpSessionStrategy = new CookieHttpSessionStrategy();
	private boolean usesSpringSessionRememberMeServices;
	private ServletContext servletContext;
	private CookieSerializer cookieSerializer;
	private HttpSessionStrategy httpSessionStrategy = this.defaultHttpSessionStrategy;
	private List<HttpSessionListener> httpSessionListeners = new ArrayList<HttpSessionListener>();
	@PostConstruct
	public void init() {
		if (this.cookieSerializer != null) {
			this.defaultHttpSessionStrategy.setCookieSerializer(this.cookieSerializer);
		}
		else if (this.usesSpringSessionRememberMeServices) {
			DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
			cookieSerializer.setRememberMeRequestAttribute(
					SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);
			this.defaultHttpSessionStrategy.setCookieSerializer(cookieSerializer);
		}
	}
	@Bean
	public SessionEventHttpSessionListenerAdapter sessionEventHttpSessionListenerAdapter() {
		return new SessionEventHttpSessionListenerAdapter(this.httpSessionListeners);
	}
	@Bean
	public <S extends ExpiringSession> SessionRepositoryFilter<? extends ExpiringSession> springSessionRepositoryFilter(
			SessionRepository<S> sessionRepository) {
		SessionRepositoryFilter<S> sessionRepositoryFilter = new SessionRepositoryFilter<S>(
				sessionRepository);
		sessionRepositoryFilter.setServletContext(this.servletContext);
		if (this.httpSessionStrategy instanceof MultiHttpSessionStrategy) {
			sessionRepositoryFilter.setHttpSessionStrategy(
					(MultiHttpSessionStrategy) this.httpSessionStrategy);
		}
		else {
			sessionRepositoryFilter.setHttpSessionStrategy(this.httpSessionStrategy);
		}
		return sessionRepositoryFilter;
	}
	public void setApplicationContext(ApplicationContext applicationContext)
			throws BeansException {
		if (ClassUtils.isPresent(
				"org.springframework.security.web.authentication.RememberMeServices",
				null)) {
			this.usesSpringSessionRememberMeServices = !ObjectUtils
					.isEmpty(applicationContext
							.getBeanNamesForType(SpringSessionRememberMeServices.class));
		}
	}
	@Autowired(required = false)
	public void setServletContext(ServletContext servletContext) {
		this.servletContext = servletContext;
	}
	@Autowired(required = false)
	public void setCookieSerializer(CookieSerializer cookieSerializer) {
		this.cookieSerializer = cookieSerializer;
	}
	@Autowired(required = false)
	public void setHttpSessionStrategy(HttpSessionStrategy httpSessionStrategy) {
		this.httpSessionStrategy = httpSessionStrategy;
	}
	@Autowired(required = false)
	public void setHttpSessionListeners(List<HttpSessionListener> listeners) {
		this.httpSessionListeners = listeners;
	}
}

单看springSessionRepositoryFilter方法

这里生成了一个SessionRepositoryFilter过滤器,并将上一个配置类中的sessionRepository放入到这个过滤器中。所以这个过滤器就是替换服务器session的关键。

  1. 传入参数SessionRepository的实现类RedisOperationsSessionRepository在RedisHttpSessionConfiguration被进行创建所以sessionRepository使用的就是RedisOperationsSessionRepository用来做于存储
@Bean
public <S extends ExpiringSession> SessionRepositoryFilter<? extends ExpiringSession> springSessionRepositoryFilter(
		SessionRepository<S> sessionRepository) {
	SessionRepositoryFilter<S> sessionRepositoryFilter = new SessionRepositoryFilter<S>(
			sessionRepository);
	sessionRepositoryFilter.setServletContext(this.servletContext);
	if (this.httpSessionStrategy instanceof MultiHttpSessionStrategy) {
		sessionRepositoryFilter.setHttpSessionStrategy(
				(MultiHttpSessionStrategy) this.httpSessionStrategy);
	}
	else {
		sessionRepositoryFilter.setHttpSessionStrategy(this.httpSessionStrategy);
	}
	return sessionRepositoryFilter;
}

当执行过滤器

@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		request.setAttribute(SESSION_REPOSITORY_ATTR, this.sessionRepository);
 
		SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(
				request, response, this.servletContext);
		SessionRepositoryResponseWrapper wrappedResponse = new SessionRepositoryResponseWrapper(
				wrappedRequest, response);
 
		HttpServletRequest strategyRequest = this.httpSessionStrategy
				.wrapRequest(wrappedRequest, wrappedResponse);
		HttpServletResponse strategyResponse = this.httpSessionStrategy
				.wrapResponse(wrappedRequest, wrappedResponse);
 
		try {
			filterChain.doFilter(strategyRequest, strategyResponse);
		}
		finally {
			wrappedRequest.commitSession();
		}
	}
  • 这个doFilterInternal方法重写的是OncePerRequestFilter抽象类的方法,而OncePerRequestFilter实现的是Filter接口,在doFilter方法中会调用doFilterInternal。
  • 这里先是将sessionRepository放入到了request的attribute中,然后又用框架中的类SessionRepositoryRequestWrapper对request进行了封装。这个类里有利用sessionRepository创建,获取,删除session的方法。
  • 同时对response也进行了封装

几张图

image

image

image

阿萨德执行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
单点登录系统SSO中的session共享问题
sunzhiqiang6的博客
06-14 2708
什么是单点登录:SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。比如现在有:OA系统、门户系统、人力资源管理系统、档案管理系统、生产管理系统、xx系统等,这么多个系统。在一个公司里面,如果一个用户需要...
spring-session实现session共享
08-23
Spring-Session作为一个优秀的解决方案,它结合了Redis等分布式存储,有效地解决了这个问题,实现了跨域和多应用之间的Session统一存储,进而支持单点登录(Single Sign-On, SSO)。 Spring-SessionSpring社区...
SSO)微服务之间的session共享
jerry_wzj_的博客
10-07 1042
单点登录(SSO)—微服务之间的session共享 应用:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的系统 一:同域名下SSO 可以使用Cookie-Session机制 cookie共享:由于cookie不能跨域,需要将Cookie的域设置为顶域 session共享使用SpringSession或redis解决 例如:系统app1(app1.a.com)、系统app2(app2.a.com)、登录系统sso(sso.a.com) sso登录后,设置cookie的域为.a.com
org.springframework.web.HttpSessionRequiredException异常的解决方法,亲测有效,嘿嘿嘿
最新发布
PythonAigc的博客
05-10 2500
`org.springframework.web.HttpSessionRequiredException` 异常通常发生在 Spring MVC 应用程序中,当控制器方法或请求处理器需要 HTTP 会话(即 HttpSession)但当前请求中不存在时。这个异常表明你的应用程序期望一个有效的会话,但是出于某种原因,会话信息没有被正确地创建或维护。
sso单点登录集群化服务之Session共享
qq_26802811的博客
12-07 238
单点登录>集群化服务之Session共享 SpringSession + Redis 配置 spring.redis.host=localhost #spring.redis.password= spring.redis.port=6379 server.port=81 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
单点登录的实现原理
ajg87686的博客
06-22 923
  单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有不足,希望各位不吝赐教。 一、共享Session   共享Session可谓是实现单点登录最直接、最简单的方式。将用户认证信息...
SSO】单点登录 & Session共享
学习 - 总结 - 分享 - Francis
08-23 3453
单点登录 背景: Tomcat集群可能因为两次访问的Session不一致导致登录失败,无法访问后续页面; 解决可以通过tomcat互相进行Session共享实现,但是这仅仅试用于小集群; 如果集群变大,就会有大量Session进行互相共享,负载很大; SSO SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系...
springbootsso-session共享.zip
09-20
session共享.zip"就是基于Spring Boot和Spring Cloud构建的单点登录(SSO)系统,通过Eureka和Zuul实现了服务间的通信,并利用Redis来共享Session,从而解决了分布式环境下的Session一致性问题。 首先,Eureka是...
SSM项目集成shiro搭建session共享
04-06
7. **Shiro-Redis**:Shiro-Redis2.9是Shiro的一个扩展,它将session数据存储在Redis缓存中,解决了在分布式环境下的session共享问题。Redis是一个高性能的键值数据库,具有丰富的数据结构支持,适合存储session这样...
sso-casDemo
08-09
6. **安全考虑**:在实际应用中,需要考虑SSO的安全性,比如防止Session固定攻击、Service Ticket的加密传输以及合理设置票据过期策略。 7. **测试与调试**:启动三个Tomcat实例,模拟用户访问app1或app2,观察是否...
sso-example:oauth2鉴权 单点登录 springcloud
05-08
4. **SSO**:通过共享Session或JWT(JSON Web Token)等方式,实现用户登录一次即可访问所有服务的效果。 5. **Eureka**:SpringCloud的服务注册与发现组件,用于管理微服务实例。 6. **Zuul/Ribbon**:可能用作API...
SpringBoot+MyBatis+SpringSession+Redis实现session共享及单点登录
03-02
SpringBoot+MyBatis+SpringSession+Redis实现session共享及单点登录开发实例
基于Spring Boot、Mybatis、Redis的SSO单点登录系统demo
05-29
基于Spring Boot、Mybatis、Redis的SSO单点登录系统demo,内含一个母系统,2个子测试系统,也可以当成整合demo来学习
单点登录 SSO Session
白强
03-14 479
  单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有不足,希望各位不吝赐教。 一、共享Session 共享Session可谓是实现单点登录最直接、最简单的方式。将用户认证信息保存于Se...
Spring-Session实现SSO单点登录
u011967767的博客
05-17 768
简介 Spring SessionSpring家族中的一个子项目,它提供一组API和实现,用于管理用户的session信息 它把servlet容器实现的httpSession替换为spring-session,专注于解决 session管理问题Session信息存储在Redis中,key是由UUID生成,且以hash结构存放在redis,可简单快速且无缝的集成到我们的应用中; Spring Session的特性: 提供用户session管理的API和实现 提供HttpSession,以中立的方式取代
Session跨域共享SSO解决方案实战
长沙老码农
03-09 4588
目录 1、什么是Session跨域共享 2、什么是SSO 3、Session跨域共享简单实现 3.1 Spring Session 共享 (了解) 3.2 Nginx Session共享 3.3 Token + Redis + Cookie机制 3.4 Spring Security Oauth2 4、开源项目CAS应用 4.1 CAS简介 4.2 下载CAS Server并构建 4.3 CAS Server部署 4.4 CAS客户端项目 4.5 拓展 1、什么是Sessi.
多系统使用共享session实现SSO登录案例
qq_36956082的博客
02-06 190
多系统使用共享session实现SSO登录案例
session共享sso单点登陆机制
09-04 119
https://gitee.com/oschinaforZgx/notes/blob/master/Work/Software/Backend/Java/Architecture/%E5%88%86%E5%B8%83%E5%BC%8F%E6%A1%86%E6%9E%B6/cookieSe...
实现前后端session共享
weixin_54065960的博客
07-11 721
实现前后端session共享问题
SpringBoot 整合 Shiro 实现动态权限加载更新+Session 共享+单点登录.docx
11-29
SpringBoot 整合 Shiro 实现动态权限加载更新+Session 共享+单点登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值