SpringSession的源码解析（生成session，保存session，写入cookie全流程分析）

前言

上一篇文章主要介绍了如何使用SpringSession，其实SpringSession的使用并不是很难，无非就是引入依赖，加下配置。但是，这仅仅只是知其然，要知其所以然，我们还是需要深入源码去理解。在看本文先我们先想想，下面这些问题Session是啥时候创建的呢？通过什么来创建的呢？创建之后如何保存到Redis？又是如何把SessionId设置到Cookie中的呢？带着这一系列的问题，今天就让我们来揭开SpringSession的神秘面纱，如果读者朋友们看完本文之后能够轻松的回答上面的问题，那本文的作用也就达到了。当然，如果您已经对这些知识了若指掌，那么就不需要看本文了。
看源码的过程真的是一个很枯燥乏味的过程，但是弄清楚了其调用过程之后，又是很让人兴奋的，话不多说，直接进入正题。

基础介绍

默认参数的设置

首先，我们从添加的SpringSession的配置类来看起，如下，是一段很基础的配置代码，就添加了@Configuration注解和@EnableRedisHttpSession注解。其中@Configuration注解标注在类上，相当于把该类作为spring的xml配置文件中的<beans>，作用为：配置spring容器(应用上下文)，@EnableRedisHttpSession注解的作用是使SpringSession生效。

@Configuration
@EnableRedisHttpSession(maxInactiveIntervalInSeconds = -1)
public class SessionConfig {
}

点到EnableRedisHttpSession注解中，我们可以看到里面定义了RedisHttpSessionConfiguration的设置类，以及一些基础参数的设置，例如：session默认的失效时间，存入到redis的key的前缀名，这些我们参数我们在使用注解时都可以重新设置。例如：maxInactiveIntervalInSeconds设置为-1表示用不失效。

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
@Import(RedisHttpSessionConfiguration.class)
@Configuration
public @interface EnableRedisHttpSession {
			//默认最大的失效时间是30分钟
			int maxInactiveIntervalInSeconds() default MapSession.DEFAULT_MAX_INACTIVE_INTERVAL_SECONDS（1800秒）;
	public static final int DEFAULT_MAX_INACTIVE_INTERVAL_SECONDS = 1800;
			//存入到redis的key的前缀名
			public static final String DEFAULT_NAMESPACE = "spring:session";
			String redisNamespace() default RedisOperationsSessionRepository.DEFAULT_NAMESPACE;

}

RedisHttpSessionConfiguration类是一个设置类，内部的作用主要是实例化RedisOperationsSessionRepository对象和RedisMessageListenerContainer对象等以及设置操作redis的工具类。

主要类的说明

类名	作用
RedisHttpSessionConfiguration	定义RedisOperationsSessionRepository等类的对象
SessionRepositoryFilter	过滤器，操作session的入口类
SessionRepositoryRequestWrapper	是SessionRepositoryFilter内部类，包装HttpRequest请求，调用RedisOperationsSessionRepository类相关的方法都是通过其完成
CookieHttpSessionIdResolver	这个类主要是调用DefaultCookieSerializer类的方法将sessionid存入cookie中，或者从cookie中读取sessionid，并返回给他的上一层
DefaultCookieSerializer	这个类是真正的操作cookie的类，设置cookie的相关属性，只需要重新实例化这个类即可
RedisOperationsSessionRepository	这个类的作用是生成session，并将session保存到redis中，另外就是根据sessionid查找session
RedisSession	这个类就是Spring Session的真正的实例对象,这是原始的session

上面我们对源码中一些重要的类做了个简单的介绍，下面我们就从源码的角度来看看其充当的作用。

操作session（生成session，保存session等过程）的时序图

首先，我们先看一下生成Session的调用时序图。

1. 调用的入口还是SessionRepositoryFilter类（PS:Spring是通过责任链的模式来执行每个过滤器的）的doFilterInternal方法。

@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		//省略部分代码
			SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(
				request, response, this.servletContext);
		try {
		  //执行其他过滤器
			filterChain.doFilter(wrappedRequest, wrappedResponse);
		}
		finally {
		//wrappedRequest是SessionRepositoryRequestWrapper类的一个实例
			wrappedRequest.commitSession();
		}
	}

2. SessionRepositoryRequestWrapper类的getSession(true)方法

经过断点调试，并查看调用栈，发现调用这个filterChain.doFilter(wrappedRequest, wrappedResponse);方法之后，最终会调用到SessionRepositoryRequestWrapper类的getSession(true)方法。其中，SessionRepositoryRequestWrapper类是SessionRepositoryFilter类的一个私有的不可被继承，被重写的内部类。

public HttpSessionWrapper getSession(boolean create) {
			//1. 获取HttpSessionWrapper实例，如果可以获取到，则说明session已经生成了。就直接返回
			HttpSessionWrapper currentSession = getCurrentSession();
			if (currentSession != null) {
				return currentSession;
			}
			//如果可以获取到session
			S requestedSession = getRequestedSession();
			//如果HttpSessionWrapper实例为空，则需要将session对象封装到HttpSessionWrapper实例中，并设置到HttpRequestSerlvet中
			if (requestedSession != null) {
				if (getAttribute(INVALID_SESSION_ID_ATTR) == null) {
					requestedSession.setLastAccessedTime(Instant.now());
					this.requestedSessionIdValid = true;
					currentSession = new HttpSessionWrapper(requestedSession, getServletContext());
					currentSession.setNew(false);
					setCurrentSession(currentSession);
					return currentSession;
				}
			}
			//如果获取不到session，则进入下面分支，创建session
			else {
			//省略部分代码
			//如果create为false，直接返回null
			if (!create) {
				return null;
			}
		    //省略部分代码
			//如果create为true，则调用RedisOperationsSessionRepository类的createSession方法创建session实例
			S session = SessionRepositoryFilter.this.sessionRepository.createSession();
			session.setLastAccessedTime(Instant.now());
			currentSession = new HttpSessionWrapper(session, getServletContext());
			setCurrentSession(currentSession);
			return currentSession;
		}

如上代码所示：getSession(boolean create) 方法主要有两块，1. 获取session实例，如果请求头中带着sessionid，则表示不是第一次请求，是可以获取到session的。2. 如果浏览器是第一次请求应用（没有sessionid）则获取不到session实例，需要创建session实例。在拿到生成的Session对象之后，紧接着会创建一个HttpSessionWrapper实例，并将前面生成的session传入其中，方便后面取用，然后将HttpSessionWrapper实例放入当前请求会话HttpServletRequest中，（Key是.CURRENT_SESSION，value是HttpSessionWrapper的实例）。

3. RedisOperationsSessionRepository类的createSession()方法

从前面的代码分析我们可以知道如果获取不到session实例，则会调用createSession()方法进行创建。这个方法是在RedisOperationsSessionRepository类中，该方法比较简单，主要就是实例化RedisSession对象。其中RedisSession对象中包括了sessionid，creationTime，maxInactiveInterval和lastAccessedTime等属性。其中原始的sessionid是一段唯一的UUID字符串。

	@Override
	public RedisSession createSession() {
		//实例化RedisSession对象
		RedisSession redisSession = new RedisSession();
		if (this.defaultMaxInactiveInterval != null) {
			//设置session的失效时间
			redisSession.setMaxInactiveInterval(
					Duration.ofSeconds(this.defaultMaxInactiveInterval));
		}
		return redisSession;
	}
	
	RedisSession() {
			this(new MapSession());
			this.delta.put(CREATION_TIME_KEY, getCreationTime().toEpochMilli());
			this.delta.put(MAX_INACTIVE_INTERVAL_KEY,
					(int) getMaxInactiveInterval().getSeconds());
			this.delta.put(LAST_ACCESSED_TIME_KEY, getLastAccessedTime().toEpochMilli());
			this.isNew = true;
			this.flushImmediateIfNecessary();
		}

另外，doFilterInternal方法在调用完其他方法之后，在finally代码块中会调用SessionRepositoryRequestWrapper类内部的commitSession()方法，而commitSession()方法会保存session信息到Redis中，并将sessionid写到cookie中。我们接着来看看commitSession()方法。

private void commitSession() {
			//当前请求会话中获取HttpSessionWrapper对象的实例
			HttpSessionWrapper wrappedSession = getCurrentSession();
			//如果wrappedSession为空则调用expireSession写入一个空值的cookie
			if (wrappedSession == null) {
				if (isInvalidateClientSession()) {
					SessionRepositoryFilter.this.httpSessionIdResolver.expireSession(this,
							this.response);
				}
			}
			else {
				//获取session
				S session = wrappedSession.getSession();
				clearRequestedSessionCache();
				SessionRepositoryFilter.this.sessionRepository.save(session);
				String sessionId = session.getId();
				if (!isRequestedSessionIdValid()
						|| !sessionId.equals(getRequestedSessionId())) {
					SessionRepositoryFilter.this.httpSessionIdResolver.setSessionId(this,
							this.response, sessionId);
				}
			}
		}

第一步就是从当前请求会话中获取HttpSessionWrapper对象的实例，如果实例获取不到则向Cookie中写入一个空值。如果可以获取到实例的话，则从实例中获取Session对象。获取到Session对象之后则调用RedisOperationsSessionRepository类的save(session)方法将session信息保存到Redis中，其中redis的名称前缀是spring:session。将数据保存到Redis之后
紧接着获取sessionid，最后调用CookieHttpSessionIdResolver类的setSessionId方法将sessionid设置到Cookie中。

4. CookieHttpSessionIdResolver类的setSessionId方法

@Override
	public void setSessionId(HttpServletRequest request, HttpServletResponse response,
			String sessionId) {
			//如果sessionid等于请求头中的sessionid，则直接返回
		if (sessionId.equals(request.getAttribute(WRITTEN_SESSION_ID_ATTR))) {
			return;
		}
		//将sessionid设置到请求头中
		request.setAttribute(WRITTEN_SESSION_ID_ATTR, sessionId);
		//将sessionid写入cookie中
		this.cookieSerializer
				.writeCookieValue(new CookieValue(request, response, sessionId));
	}

从上代码我们可以看出，setSessionId方法主要就是将生成的sessionid设置到请求会话中，然后调用DefaultCookieSerializer类的writeCookieValue方法将sessionid设置到cookie中。

5. DefaultCookieSerializer类的writeCookieValue方法

@Override
	public void writeCookieValue(CookieValue cookieValue) {
		HttpServletRequest request = cookieValue.getRequest();
		HttpServletResponse response = cookieValue.getResponse();

		StringBuilder sb = new StringBuilder();
		//设置cookie的名称，默认是SESSION
		sb.append(this.cookieName).append('=');
		//设置cookie的值，就是传入的sessionid
		String value = getValue(cookieValue);
		if (value != null && value.length() > 0) {
			validateValue(value);
			sb.append(value);
		}
		//设置cookie的失效时间
		int maxAge = getMaxAge(cookieValue);
		if (maxAge > -1) {
			sb.append("; Max-Age=").append(cookieValue.getCookieMaxAge());
			OffsetDateTime expires = (maxAge != 0)
					? OffsetDateTime.now().plusSeconds(maxAge)
					: Instant.EPOCH.atOffset(ZoneOffset.UTC);
			sb.append("; Expires=")
					.append(expires.format(DateTimeFormatter.RFC_1123_DATE_TIME));
		}
		String domain = getDomainName(request);
		//设置Domain属性，默认就是当前请求的域名，或者ip
		if (domain != null && domain.length() > 0) {
			validateDomain(domain);
			sb.append("; Domain=").append(domain);
		}
		//设置Path属性，默认是当前项目名（例如：/spring-boot-session），可重设
		String path = getCookiePath(request);
		if (path != null && path.length() > 0) {
			validatePath(path);
			sb.append("; Path=").append(path);
		}
		if (isSecureCookie(request)) {
			sb.append("; Secure");
		}
		//设置在HttpOnly是否只读属性。
		if (this.useHttpOnlyCookie) {
			sb.append("; HttpOnly");
		}
		if (this.sameSite != null) {
			sb.append("; SameSite=").append(this.sameSite);
		}
		//将设置好的cookie放入响应头中
		response.addHeader("Set-Cookie", sb.toString());
	}

分析到这儿整个session生成的过程，保存到session的过程，写入到cookie的过程就分析完了。如果下次遇到session共享的问题我们处理起来也就得心应手了。
例如：如果要实现同域名下不同项目的项目之间session共享，我们只需要改变Path属性即可。

@Configuration
@EnableRedisHttpSession(maxInactiveIntervalInSeconds = -1)
public class SessionConfig {
    @Bean
    public DefaultCookieSerializer defaultCookieSerializer() {
        DefaultCookieSerializer defaultCookieSerializer = new DefaultCookieSerializer();
        defaultCookieSerializer.setCookiePath("/");
        return defaultCookieSerializer;
    }
}

如果要指定域名的话，我们只需要设置DomainName属性即可。其他的也是同理，在此就不在赘述了。

总结

本文按照代码运行的顺序，一步步分析了session的创建，保存到redis，将sessionid交由cookie托管的过程。分析完源码之后，我们知道了session的创建和保存到redis主要是由RedisOperationsSessionRepository类来完成。将sessionid交由cookie托管主要是由DefaultCookieSerializer类来完成，下一篇我们将介绍读取session的过程。

源代码

https://github.com/XWxiaowei/spring-boot-session-demo