认证--SpringSession(原理)

秒速五厘米 2022-10-29 04:30 30阅读 0赞

原文网址：[认证--SpringSession(原理)\_IT利刃出鞘的博客-CSDN博客][--SpringSession_IT_-CSDN]

# 其他网址 #

[分布式Session系列--综述\_分布式\_feiying0canglang的博客-CSDN博客][Session_--_feiying0canglang_-CSDN]

[第十七节 SpringBoot通过Redis实现Session共享\_大宇的博客，欢迎访问-CSDN博客][SpringBoot_Redis_Session_-CSDN]  
[springboot集成redis和springsession做session服务器\_请叫我猿叔叔的博客-CSDN博客][springboot_redis_springsession_session_-CSDN]  
[SpringBoot 2 整合 Spring Session 最简操作\_ljk126wy的博客-CSDN博客][SpringBoot 2 _ Spring Session _ljk126wy_-CSDN]  
[spring boot + redis 实现session共享分析 - 简书][spring boot _ redis _session_ -]

# 简介 #

**简介**

> Spring-Session原理：设计一个Filter，利用HttpServletRequestWrapper，实现自己的 getSession()方法，接管创建和管理Session数据的工作。
> 
> Redis保存Session不仅仅可以用Spring-Session，还可以用Shiro引入。Shiro+Redis用法见：[Shiro应用系列--缓存\_feiying0canglang的博客-CSDN博客][Shiro_--_feiying0canglang_-CSDN]

**请求拦截**

> Spring Session 是通过SessionRepositoryFilter过滤器进行拦截，然后通过SessionRepositoryRequestWrapper继承HttpServletRequestWrapper进行管理Session。

**存放策略**

> Spring Session 为我们提供了3中存放的策略而每种策略提供对应的注解启动。分别为：
> 
> (1)NoSql形式的MongoDb：@EnableMongoHttpSession  
> (2)持久化形式的JDBC：@EnableJdbcHttpSession  
> (3)缓存形式的Redis：@EnableRedisHttpSession

**Spring Session：共享Session过程**

> **1.过滤请求**
> 
> Spring-Session自动注入springSessionRepositoryFilter过滤器，每次请求都过滤。其本质是：对每个请求的request进行一次封装。request.getSession()的时候，实际上拿到是Spring封装后的session，这个session存储在Redis中。
> 
> **2.应用获取session**
> 
> 应用通过 getSession(boolean create) 方法来获取 session 数据，参数 create 表示 session 不存在时是否创建新的 session 。 getSession 方法首先从请求的 “.CURRENT\_SESSION” 属性来获取 currentSession 。
> 
> **3.若session不存在**
> 
> 没有 currentSession ，则从 request 取出 sessionId ，然后读取 spring:session:sessions:\[sessionId\] 的值，同时根据 lastAccessedTime 和 MaxInactiveIntervalInSeconds 来判断这个 session 是否过期。如果 request 中没有 sessionId ，说明该用户是第一次访问，会根据不同的实现，如 RedisSession ，MongoExpiringSession ，GemFireSession 等来创建一个新的 session ，添加到请求中。
> 
> 从 request 取 sessionId 依赖具体的 HttpSessionStrategy 的实现，Spring Session 给了两个默认的实现 CookieHttpSessionStrategy 和 HeaderHttpSessionStrategy ，即从 cookie 和 header 中取出 sessionId 。

# **整体流程** #

> Spring-Session会自动注入springSessionRepositoryFilter过滤器，每一次的请求都由他来过滤，其本质是：对每一个请求的request进行了一次封装。request.getSession()的时候，实际上拿到是Spring封装后的session，这个session存储在Redis数据库中。
> 
> 应用通过 getSession(boolean create) 方法来获取 session 数据，参数 create 表示 session 不存在时是否创建新的 session 。 getSession 方法首先从请求的 “.CURRENT\_SESSION” 属性来获取 currentSession ，没有 currentSession ，则从 request 取出 sessionId ，然后读取 spring:session:sessions:\[sessionId\] 的值，同时根据 lastAccessedTime 和 MaxInactiveIntervalInSeconds 来判断这个 session 是否过期。
> 
> 如果 request 中没有 sessionId ，说明该用户是第一次访问，会根据不同的实现，如 RedisSession ，MongoExpiringSession ，GemFireSession 等来创建一个新的 session，添加到请求中 。
> 
> 从 request 取 sessionId 依赖具体的 HttpSessionStrategy 的实现，Spring Session 给了两个默认的实现 CookieHttpSessionStrategy 和 HeaderHttpSessionStrategy ，即从 cookie 和 header 中取出 sessionId 。

**Spring-Session在Redis中的存储结构**

> ![20200912190951561.png][]
> 
> spring:session是默认的Redis HttpSession前缀（Redis中，常用’:’分割）。如上图，每个session都创建3组数据：
> 
> **(1）session本身的一些属性**(spring:session:sessions:9ab7456f-4882-40c1-b2c5-929f98395234)
> 
> hash结构，存储：creationTime、maxInactiveInterval、、lastAccessedTime、session信息（实体类的序列化数据）。
> 
> ![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZlaXlpbmcwY2FuZ2xhbmc_size_16_color_FFFFFF_t_70][]
> 
> **(2）****会过期的key**（spring:session:sessions:expires:9ab7456f-4882-40c1-b2c5-929f98395234）
> 
> string结构，value为空。
> 
> ![20200912191048681.png][]
> 
> **（3）以时间为key存储在该时间点过期的sessionId列表**（spring:session:expirations:1599909240000：）
> 
> set结构，存储在这个时间过期的sessionId
> 
> ![2020091219101273.png][]

**session存储结构总结**

> session在存储时分为三个结构:
> 
> 1.  session本身的一些属性存储
> 2.  会过期的key
> 3.  以时间为key存储在该时间点需要过期的sessionId列表
> 
> **为什么需要三个存储结构?** 
> 
> 先说明第2个结构是用来干嘛的，第二存储一般设置成session的过期时间如30分钟或者15分钟，同时session的客户端会注册一个redis的key过期事件的监听，一旦有key过期客户端有会事件响应和处理。  
>   
> 在处理事件时可能会需要该session的信息，这时候第1个结构就有用了，因此第1个结构的过期时间会比第二存储过期时间多1-3min，这就是为什么需要把属性存储和过期分开的原因。
> 
> 那第3个结构的用处呢？对\`Redis\`比较熟悉的同学一定会知道其中的奥秘，因为\`Redis\`的key过期方式是定期随机测试是否过期和获取时测试是否过期（也称懒删除），由于定期随机测试Task的优先级是比较低的，所以即便这个key已经过期但是没有测试到所以不会触发key过期的事件。所以，第3个结构的用处的意义在于，存储了什么时间点会过期的session，这样可以去主动请求来触发懒删除，以此触发过期事件。

# 源码分析 #

**其他网址**

> [spring boot + redis 实现session共享分析 - 简书][spring boot _ redis _session_ -]  
> [SpringSession系列-集成SpringBoot - 掘金][SpringSession_-_SpringBoot -]

## **Spring-Session的Key** ##

> Spring-Session是使用默认的UUID来作为Key值来将Session存储到Redis容器中的。
> 
> 相关代码
> 
>     // ---------- RedisSession的构造函数
>     RedisSession() {
>         // 关键就是下面这句了, RedisSession以一个MapSession作为backup.
>         // 另外JdbcSession也是以一个MapSession作为backup.
>         this(new MapSession());
>         this.delta.put(CREATION_TIME_ATTR, getCreationTime());
>         this.delta.put(MAX_INACTIVE_ATTR, getMaxInactiveIntervalInSeconds());
>         this.delta.put(LAST_ACCESSED_ATTR, getLastAccessedTime());
>         this.isNew = true;
>         flushImmediateIfNecessary();
>     }
>     
>     // ---------- MapSession的构造函数
>     public MapSession() {
>         // 这里的UUID.randomUUID().toString()就是默认的Redis中的键值; 
>         // 当然其实Spring-Session将Session存入Redis时会给这个值附加一些前后缀. 不过与我们本次关注的重点关系不大. 就不再深入讲解了.
>         this(UUID.randomUUID().toString());
>     }
>     
>     public MapSession(String id) {
>         // 所以上面生成的uuid最终是被存储在mapSession的id字段里.
>         this.id = id;
>     }

[--SpringSession_IT_-CSDN]: https://knife.blog.csdn.net/article/details/113758056
[Session_--_feiying0canglang_-CSDN]: https://blog.csdn.net/feiying0canglang/article/details/105371781
[SpringBoot_Redis_Session_-CSDN]: https://blog.csdn.net/yanluandai1985/article/details/102593851
[springboot_redis_springsession_session_-CSDN]: https://blog.csdn.net/qq_35206261/article/details/82289066
[SpringBoot 2 _ Spring Session _ljk126wy_-CSDN]: https://blog.csdn.net/ljk126wy/article/details/93971421
[spring boot _ redis _session_ -]: https://www.jianshu.com/p/ece9ac8e2f81
[Shiro_--_feiying0canglang_-CSDN]: https://blog.csdn.net/feiying0canglang/article/details/108355330
[20200912190951561.png]: /images/20221024/7778c19cf020464fa0a1792ca70aba74.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZlaXlpbmcwY2FuZ2xhbmc_size_16_color_FFFFFF_t_70]: /images/20221024/00cffe10cb5846ab8a62f55d0ff62fa8.png
[20200912191048681.png]: /images/20221024/9078dcd0ca764cb7b68abb1697626653.png
[2020091219101273.png]: /images/20221024/0baa41d1ee8c4d14aaa41d5b1a665ce4.png
[SpringSession_-_SpringBoot -]: https://juejin.im/post/6844903703921557517