Spring Boot 解决方案 - 会话
连接无状态
使用 HTTP 的连接是无状态的,因此为了应对需要状态的服务例如用户登录,诞生了适合保存状态的设计-会话(session),本文就来探讨一下会话。
会话的使用
Spring Mvc 中使用会话很简单,在控制器类的方法参数列表中,直接编写 HttpSession 类型的参数,或者参数列表中编写 HttpServletRequest 类,然后使用 getSession() 方法获取会话。
下面是使用会话的简单例子,第一次访问时会创建一个无数据的会话,因此获取到的 access 属性为 null ,而当不是第一次访问时,由于属性不为 null 会得到 “NOT THE FIRST TIME ACCESS” 。
@RestControllerpublic class DemoController {private static final String ACCESS = "access";@RequestMapping("/")public String index(HttpSession session) { // or `index(HttpServletRequest req)`// then `HttpSession session = request.getSession();`if (session.getAttribute(ACCESS) == null) {session.setAttribute(ACCESS, true);return "FIRST TIME ACCESS";}return "NOT THE FIRST TIME ACCESS";}}
注意:由于用 Mock Mvc 测试获取不到第一次请求 Cookies,因此无法模拟得到正确结果,请使用浏览器或者请求工具测试。
常用方法
上面例子展示了会话的简单使用,其中 HttpSession 接口是 servlet 的标准,而 Spring Mvc 中的会话默认使用 Tomcat 的实现。下面来介绍几个常用方法,更多方法使用请参考这篇文章。
-
Object getAttribute(String)方法用来获取会话的属性,若不存在则返回 null -
void setAttribute(String, Object)方法用来设置会话的属性 -
void removeAttribute(String)方法用来删除会话的属性 -
void setMaxInactiveInterval(int)方法用来设置会话失效时间,单位为秒,设置小于等于零的数则会话永不过期 -
void invalidate()手动使会话失效并清理会话数据
会话监听器
会话的生命周期分别为创建、失效和创建与失效之间,而会话监听器是为了满足会话生命周期中触发相应事件的需要,HttpSessionListener 和 HttpSessionBindingListener 两个监听器接口分别满足了会话的各个生命周期。使用监听器只需实现这些接口然后标注 @WebListener 注解即可,下面会有实现的例子。
针对会话的监听器
HttpSessionListener 接口可以算是针对会话的监听器接口,因为它的两个方法分别在会话创建和失效时调用,下面为一个简单的例子,参数列表中 HttpSessionEvent 类可以用 getSession 获取会话。
@WebListenerpublic class SessionListener implements HttpSessionListener {public void sessionCreated(HttpSessionEvent event) {// ...}public void sessionDestroyed(HttpSessionEvent event) {// ...}}
针对会话属性的监听器
与 HttpSessionListener 监听器接口接管会话生命周期的创建与失效不同,HttpSessionBindingListener 监听器接口负责会话属性的创建与销毁,下面为该监听器的简单例子,参数列表中 HttpSessionBindingEvent 类除了可以用 getSession 获取会话,最主要的是可用 getName 和 getValue 分别获取属性的名字和值。
@WebListenerpublic class SessionListener implements HttpSessionBindingListener {public void valueBound(HttpSessionBindingEvent event) {// ...}public void valueUnbound(HttpSessionBindingEvent event) {// ...}}
使监听器生效
上面的例子只是编写了监听器的实现,为了使得监听器在项目里生效,还必须在启动类或者配置类上标注 @ServletComponentScan 来扫描这些属于 servlet 组件的监听器,例如下面在配置类上启动 servlet 组件扫描。
@Configuration@ServletComponentScan // enable scan servlet componentpublic class ApplicationConf {// ...}
分布式会话
若是有多台 Web 服务器提供不同的服务,且要求属于同一会话,上面的单机会话例子就无法满足要求,于是就有了分布式会话即可以共享会话数据。
利用 Spring Session 就可以实现分布式会话,而 Spring Session 的实现可依赖关系数据库或内存数据库,下面例子为 Spring Boot 中导入基于 Redis 实现的 Spring Session 的依赖。
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency><dependency><groupId>org.springframework.session</groupId><artifactId>spring-session-data-redis</artifactId></dependency><dependency><groupId>redis.clients</groupId><artifactId>jedis</artifactId></dependency>
接着在 Spring Boot 的属性配置文件中,添加如下的属性即可,而对于会话的使用和单机会话操作是一样的。
spring:session:store-type: redisredis:host: 127.0.0.1port: 6379
会话安全问题
关于会话安全问题,由于了解知识尚浅,暂且不做探讨,后续会补充该部分。