实战开发,使用 Spring Session 与 Spring security 完成网站登录改造!!

最新推荐文章于 2024-06-08 17:30:00 发布
最新推荐文章于 2024-06-08 17:30:00 发布
阅读量829 收藏 32
点赞数 6
分类专栏: Spring 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014634309/article/details/108091940
版权
本文介绍了如何使用Spring Session和Spring Security进行网站登录改造,将Session存储到Redis中,实现后端Session的集中管理。通过Spring Boot项目实例,详细讲解了Spring Session的配置与使用,以及Spring Security的登录验证和权限控制。借助这两个框架,可以简化登录鉴权流程,提高开发效率。
摘要由CSDN通过智能技术生成

上次小黑在文章中介绍了四种分布式一致性 Session 的实现方式,在这四种中最常用的就是后端集中存储方案,这样即使 web 应用重启或者扩容,Session 都没有丢失的风险。

今天我们就使用这种方式对 Session 存储方式进行改造,将其统一存储到 Redis 中。

实现方案

我们先来想一下,如果我们不依靠任何框架,自己如何实现后端 Session 集中存储。

这里我们假设我们的网站除了某些页面,比如首页可以直接访问以外,其他任何页面都需要登录之后才能访问。

如果需要实现这个需求,这就需要我们对每个请求都进行鉴权,鉴权目的是为了判断用户是否登录,判断用户角色。

如果用户没有登录,我们需要将请求强制跳转到登录页面进行登录。

用户登录之后,我们需要将登录获取到的用户信息存储到 Session 中,这样后面请求鉴权只需要判断 Session 中是否存在即可。

知道整个流程之后,其实实现原理就不是很难了。

我们可以使用类似 AOP 的原理,在每个请求进来之后,都先判断 Session 中是否存在用户信息,如果不存在就跳转到登录页。

整个流程如下所示:

我们可以利用 Servelt Filter 实现上述流程,不过上述整套流程,Spring 已经帮我们实现了,那我们就不用重复造轮子了。

我们可以使用 Spring-SessionSpring-security 实现上述网站的流程。

Spring-Session 是 Spring 提供一套管理用户 Session 的实现方案,使用 Spring-Session 之后,默认 WEB 容器,比如 Tomcat,产生的 Session 将会被 Spring-Session 接管。

除此之外,Spring-Session 还提供几种常见后端存储实现方案,比如 Redis,数据库等。

有了 Spring-Session 之后,它只是帮我们解决了 Session 后端集中存储。但是上述流程中我们还需要登录授权,而这一块我们可以使用 Spring-security 来实现。

Spring-security 可以维护统一的登录授权方式,同时它可以结合 Spring-Session 一起使用。用户登录授权之后,获取的用户信息可以自动存储到 Spring-Session 中。

好了,不说废话了,我们来看下实现代码。

下述使用 Spring Boot 实现, Spring-Boot 版本为:2.3.2.RELEASE

Spring Session

首先我们引入 Spring Session 依赖,这里我们使用 Redis 集中存储 Session 信息,所以我们需要下述依赖即可。

<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-data-redis</artifactId>
</dependency>

如果不是 Spring Boot 项目,那主要需要引入如下依赖:

<dependency>
  <groupId>org.springframework.data</groupId>
  <artifactId>spring-data-redis</artifactId>
  <version>2.3.0.RELEASE</version>
</dependency>
<dependency>
  <groupId>org.springframework.session</groupId>
  <artifactId>spring-session-core</artifactId>
  <version>2.3.0.RELEASE</version>
</dependency>

引入依赖之后,我们首先需要在 application.properties增加 Session 相关的配置:

## Session 存储方式
spring.session.store-type=redis

## Session 过期时间,默认单位为 s
server.servlet.session.timeout=600
## Session 存储到 Redis 键的前缀
spring.session.redis.namespace=test:spring:session

## Redis 相关配置
spring.redis.host=127.0.0.1
spring.redis.password=****
spring.redis.port=6379

配置完成之后,Spring Session 就会开始管理 Session 信息,下面我们来测试一下:

@ResponseBody
@GetMapping("/hello")
public String hello() {
   
    return "Hello World";
}

当我们访问上面地址之后,访问 Redis ,可以看到存储的 Session 信息。

推荐大家一个 Redis 客户端「Another Redis DeskTop Manager」,这个客户端 UI 页面非常漂亮,操作也很方便,下载地址:

https://github.com/qishibo/anotherredisdesktopmanager/releases

网速不好的同学,公号内回复:「redis」,获取安装包。

默认情况下,Session 默认使用HttpSession 序列化方式,这种值看起来不够直观。我们可以将其修改成 json 序列化方式,存储到 redis 中。

@Configuration
public class HttpSessionConfig implements Be
最低0.47元/天 解锁文章
楼下小黑哥
关注
  • 6
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务非登录服务的 spring session + spring security 实践
weixin_44602409的博客
07-24 284
配置 还没用spring session的时候,一直不明白如何让后端把session主动存到持久层(比如redis)中,这几天看了看spring session的文档和博客,算是明白了,简单来说就是下面一段话: Spring Session creates a Spring bean with the name of springSessionRepositoryFilter that implements Filter. The filter is in charge of replacing the
7、Spring Session-Spring Security集成
Ron.Zheng
09-22 6481
Spring Session提供了和Spring Security的集成。6.1. Spring Security Remember-Me的支持Spring Session 提供了和 Spring Security’s Remember-Me Authentication
Spring Security源码分析九:Spring Security Session管理
最新发布
ZL_1618的博客
06-08 703
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
Spring securitySpring session 一起使用
热门推荐
StupidPig0818的博客
04-22 1万+
Spring security 中包含对Session的处理,在引入Spring session后, 两者是如何共存的。 有几个问题需要考虑: 1、两者Session存放的位置 2、Session的生命周期管理第一个问题还没了解清楚,我暂时将问题记录下了,如果有高手知道可以私信我。 疑问如下: 在xml中security配置(session部分)如下:<security:http> <s
springsecurity源码查看网址
01-28 131
http://www.boyunjian.com/javasrc/org.springframework.security/spring-security-web/3.1.3.RELEASE/_/org/springframework/security/web/session/HttpSessionEventPublisher.java 转载于:https://www.cnblogs....
Spring Security +Spring Session Redis+JJWT
fxtxz2的专栏
02-08 2119
Spring Security+Spring Session Redis+JJWT实现集中引用式会话
使用 Spring SessionSpring security 完成网站登录改造.docx
06-26
Spring SessionSpring Security 是两个非常重要的 Spring 框架组件,它们在构建现代 Web 应用程序时扮演着关键角色。Spring Session 提供了一种在分布式环境中管理用户会话(Session)的方式,而 Spring ...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring BootSpring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
我们将基于给定的标签——SpringBootSpringSecurity、mysql、session共享和idea来构建一个完整的示例。 首先,SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
基于java config的springSecurity 六 集成spring session
06-20
参考资料: http://docs.spring.io/spring-session/docs/current-SNAPSHOT/reference/html5/guides/security.html http://blog.csdn.net/xiejx618/article/details/43059683
Day91.Spring Security框架: 认证与授权、Spring Session集成--Session共享
a111042555的博客
06-27 1327
Spring Security
spring-security+spring-session配置
saizzzzzz的专栏
08-22 9571
spring-session的配置1.dependency 2.applicationContext.xml 3.web.xml 4.分布式 5.遇到的一些问题1. dependencyspring-session提供了一个集成的jar包,只需要导入这一个就可以了.<!-- spring session --> <dependency> <groupId>org.spri
spring-security + spring-session-redis实现redis存储登录状态
qq_36891203的博客
04-09 938
用redis存session时想用Json做序列化,遇到坑来记录一下 首先说下坑: Spring-Security下面有些类是没有无参构造方法的,反序列化时会抛异常 Spring Security spring security配置,不是本文重点,之后再详细记录 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserServ
最新版Spring Security & Spring Session 实现单点登录
weixin_43626356的博客
08-23 1463
Spring Security & Spring Session & Redis实现SSO
SpringBoot+SpringSecurity+SpringSession配置快速入门与应用场景分析
satanradnana的专栏
02-23 2310
简介 公司有一个复杂项目,需要建设多个应用系统。例如:用户管理系统、门户系统、客户管理系统、采购系统、销售管理系统、库存系统等。所有系统的用户均需要通过用户管理系统进行统一授权,每个角色通过门户系统登录一次就可以跳转到所有授权的子系统。这种场景我们就需要建设一套单点登录的模式。常见的有CAS、OAuth2、LDAP等。初步调研后发现每种类型都有很多坑,而且最主要的是开发工作量大。有没有一...
SpringSecurity + SpringSession项目中如何实现当前在线用户的查询、剔除登录用户等操作
向心行者
09-15 1275
在前一篇《在SpringBoot项目中整合SpringSession,基于Redis实现对Session的管理和事件监听》
看完这一篇你还不会springsecurity吗?springsecurity小实例,简单实现网站登录获权(附源码)
hello_list的博客
04-14 4687
springsecurity小实例,简单实现网站登录获权(附源码) 源码地址:https://gitee.com/TL0902/term/blob/929e16577549a1edba8da7a1212107f28799bd72/springsecurity/springbootsecurity.rar 前言 对于开发一个网站,最重要的就是首先就是安全机制,还记得实训的时候javaweb手写登录拦截,权限控制的时候,很痛苦,原理很简单,代码很冗余,bug总不断,一不小心登录上来了,哈哈,这里呢简单使用下sp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值