Spring Session 整合 JWT Token

最新推荐文章于 2025-06-09 00:32:08 发布
最新推荐文章于 2025-06-09 00:32:08 发布
阅读量5.3k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: java spring session jwt 文章标签: session spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pomer_huang/article/details/78739893
本文介绍了如何将Spring Session与JWT Token进行整合,通过创建自定义会话策略类关联两者,实现JWT token的会话管理。核心组件springSessionRepositoryFilter用于重写会话方法,配置MyHttpSessionStrategy覆盖默认策略。测试显示,即使在不同客户端,JWT token也能与特定会话关联,实现了会话共享和认证访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考文章:http://blog.youkuaiyun.com/qq351790934/article/details/54930049

依赖库 pom.xml

        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
            <version>1.3.1.RELEASE</version>
            <type>pom</type>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>4.3.4.RELEASE</version>
        </dependency>

Spring Session 默认的会话策略类是 CookieHttpSessionStrategy,其行为方式与 Tomcat 会话管理大同小异(但是存储方式不同,一个是redis远程存储,一个是堆内存),我们可以通过创建自己的会话策略类来干涉 Spring Session 的会话管理(很遗憾,目前Spring Session不支持自定义sessionId,为了让 jwt token 享受到会话管理,需要手动将两者关联起来)

/**
 * 自定义的 Spring Session 会话策略
 */
public class MyHttpSessionStrategy implements HttpSessionStrategy {

    //框架默认的会话策略,之所以选择组合的方式,是因为该类是 final,无法继承
    private static final CookieHttpSessionStrategy strategy = new CookieHttpSessionStrategy();

    //<JWT Token, 会话id>,应改成 redis 远程存储管理,此处仅用于演示
    private static final Map<String, String> token2SessionId = new ConcurrentHashMap<>();

    private static final String TOKEN_NAME = "x-jwt-token";

    //当获取会话时回调此方法,返回的sessionid用于从redis取得对应的会话对象
    @Override
    public String getRequestedSessionId(HttpServletRequest request) {
        //从HTTP头部或参数获取 jwt token
        String token = getJwtToken(request);
        if (null != token && !token.equals("")) {
            //寻找token对应的sessioid
            String sessionId = token2SessionId.get(token);
            if (null != sessionId) {
                System.out.println("发现 JWT(" + token + "),其关联会话: " + sessionId);
                return sessionId;
            }

        }
        //框架默认的会话策略,从Cookie获取sessionid
        return strategy.getRequestedSessionId(request);
    }

    //当新建会话时回调此方法
    @Override
    public void onNewSession(Session session, HttpServletRequest request, HttpServletResponse response) {
        String token = getJwtToken(request);
        if (null != token && !token.equals("")) {
            String old = token2SessionId.get(token);
            if (null != old) {
                //会话已存在
            } else {
                //将Token关联新会话,至于JWT的校验流程可由后续处理
                token2SessionId.put(token, session.getId());
            }

        }
        //框架默认的会话策略,将sessionid写入cookie
        strategy.onNewSession(session, request, response);
    }

    //当会话过期时回调此方法
    @Override
    public void onInvalidateSession(HttpServletRequest request, HttpServletResponse response) {
        String token = getJwtToken(request);
        if (null != token && !token.equals("")) {
            token2SessionId.remove(token);
        }

        strategy.onInvalidateSession(request, response);
    }

    private String getJwtToken(HttpServletRequest request) {
        return null != request.getHeader(TOKEN_NAME) ? request.getHeader(TOKEN_NAME) : request.getParameter(TOKEN_NAME);
    }

    /**
     *
     * @param token
     * @param sessionId
     * @return true表示新旧会话一致; false表示新旧会话不一样,既然旧会话是有效的,呢么新会话就是多余的,可回收
     */
    public static boolean checkAndSetSessionId(String token, String sessionId) {
        String old = token2SessionId.get(token);
        if (null != old) {
            //会话已存在
            System.out.println("Token(" + token + ") 会话已存在:" + sessionId + "; 选择无视新会话");
            //判断新旧会话是否相同
            return sessionId.equals(old);
        } else {
            //将 JWT Token 与 sessionId 关联起来
            token2SessionId.put(token, sessionId);
            System.out.println("将计算得到的 Token(" + token + ") 关联 会话id(" + sessionId + ")");
        }

        return true;
    }

}

配置Spring Sessio最核心的一个组件,springSessionRepositoryFilter,其位于过滤链最前端,用于重写会话相关的方法;Spring应用只需要如下代码,其他的例如集成Spring Boot、Spring Security可参考官方示例

public class Initializer extends AbstractHttpSessionApplicationInitializer {

    public Initializer() {
        super(Config.class);
    }
}

配置MyHttpSessionStrategy,以覆盖Spring容器中默认的会话策略(CookieHttpSessionStrategy)

@EnableRedisHttpSession
public class Config {

    @Bean
    public JedisConnectionFactory connectionFactory() {
        JedisConnectionFactory connection = new JedisConnectionFactory();
        connection.setPort(6379);
        connection.setHostName("127.0.0.1");
//        connection.setPassword("password");
        connection.setDatabase(8);
        return connection;
    }

    @Bean
    public HttpSessionStrategy httpSessionStrategy() {
        return new MyHttpSessionStrategy();
    }
}

定义一个登录Servlet,用于测试

@WebServlet("/login")
public class LoginServlet extends HttpServlet {

    private static final long serialVersionUID = 2878267318695777395L;

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        String sessionId = req.getSession().getId();
        System.out.println("当前会话id为:" + sessionId);

        String username = req.getParameter("username");
        String password = req.getParameter("password");
        if (null != username && username.equals("username") && null != password && password.equals("password")){
            //模拟 JWT 计算得到 token
            String token = "HelloWorld";
            if (!MyHttpSessionStrategy.checkAndSetSessionId(token, sessionId)){
                //表示新旧会话不同,既然旧会话是有效的,呢么新会话就是多余的,可回收
                System.out.println("JWT Token已存在会话,可重复使用,当前新会话是多余的");
                req.getSession().invalidate();
            }
        }
    }
}

测试开始,先普通地访问Servlet,不传任何参数,输出为

当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea

可以看到,与普通的浏览器会话管理一样,只要浏览器不关闭,会话能保持30分钟;

传参 username 和 password,尝试第一次登录

当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
将计算得到的 Token(HelloWorld) 关联 会话id(41aa06d2-13d5-4d13-8251-c8be9a74d687)

不关闭浏览器,继续尝试第二、第三次重复登录

当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
Token(HelloWorld) 会话已存在:41aa06d2-13d5-4d13-8251-c8be9a74d687; 选择无视新会话
当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
Token(HelloWorld) 会话已存在:41aa06d2-13d5-4d13-8251-c8be9a74d687; 选择无视新会话

关闭浏览器,重新启动以模拟不同的客户端,尝试第四、第五次重复登录

当前会话id为:b4385394-7553-4de7-9125-a893b840d16b
Token(HelloWorld) 会话已存在:b4385394-7553-4de7-9125-a893b840d16b; 选择无视新会话
JWT Token已存在会话,可重复使用,当前新会话是多余的
当前会话id为:45a66d45-c328-4c1a-a774-f1612c2cd727
Token(HelloWorld) 会话已存在:45a66d45-c328-4c1a-a774-f1612c2cd727; 选择无视新会话
JWT Token已存在会话,可重复使用,当前新会话是多余的

可以看到,每一个 JWT token 都能唯一关联固定的会话,实现了不同客户端共享同一个会话(如果需要其他逻辑,可自定义实现)

最后,传参 x-jwt-token:HelloWorld,实现 token 认证访问

发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
Spring session调研(Cookie、Token)
lindan1984的专栏
02-24 1761
在大部分时候,我们在讨论API的设计时,会从功能的角度出发定义出完善的、易用的API。而很多时候,非功能需求如安全需求则会在很晚才加入考虑。而往往这部分会涉及很多额外的工作量,比如与外部的SSO集成,Token机制等等。对该安全需求,一般有如下方案:•  基于session的认证鉴权•  基于token的认证鉴权基于session由于HTTP协议本身是无状态的,服务器需要某种机制来区分每个请求。比...
告别sessionspring 集成 jwt 验证方式
热门推荐
小浩子的博客
05-05 3万+
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别人
单点登录-SSO-jwt-springSession
aggie4628的专栏
05-30 540
1.什么是SSO?什么是单点登录 1.1.session存了什么? 1.2.浏览器同源策略 1.3.session共享与session复制(不可用方案) 1.4 session复制到session不复制| 1.5.跨域访问2.SpringSession+redis 3. token(一串字符串) 3.1 token包含什么? 3.2 token怎么获得? 4.JWT4.1JWT是什么 4.2JWT组成 4.3JWT实现 4.3.1 main() createToke...
数据库——redis
最新发布
ningmengjing_的博客
06-09 1136
内存存储架构:数据主要存储在内存中,提供微秒级的读写响应多数据结构支持基础类型:字符串(Strings)集合类型:列表(Lists)、集合(Sets)、有序集合(Sorted Sets)复合类型:哈希表(Hashes)特殊类型:位图(Bitmaps)、超日志(HyperLogLogs)空间数据:地理空间索引(Geospatial)多功能应用高性能数据库分布式缓存系统消息中间件实时数据处理平台。
用户服务模块(Spring Session底层原理与Jwt会话管理)
Neayom
05-24 571
一、Spring Session底层原理 昨天用Spring Session实现了用户分布式Session,那么为什么集成了springSession之后就可以把session存放在redis里面去?原理是什么? (一) Spring Session底层原理 通过一个SessionRepositoryFilter将请求中原生的request、response以及HttpSession拦截,并做一个包装,重写内部获取session的逻辑,将getSession()做了一个重写。 那么此时Controller中
SpringCloud下SessionJWT的使用
thciwei的博客
12-21 1428
作者Gitee地址 https://gitee.com/thciweicloud 作者项目 面包博客,一个微服务架构的前后端分离博客系统。 前段时间面包博客整合第三方登录时需要获取用户的具体信息,并提供给前端使用,想到了使用session,之后发现对于前后端分离项目并不合理,最后采用了token的方式顺畅解决了问题 Session一致性 因为分布式场景下session容易不一致,父域和子域session不共享,且网络性能更是重要的一环,在此场景下大致有三种解决方案 1.开启tomcat自带的session
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 673
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
SpringBoot集成JWT,与session的区别
Gelouc的博客
03-15 812
SpringBoot集成JWT实现token,与session的区别 什么是JWT Json web token (JWT),它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 JWT的结构 JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了JWT字符串。 Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型) Payload 负载 (类似于飞机上承载的物品) Signature 签名/签
spring框架中的session,cookie,token令牌
苍煜
09-01 2100
前言: 他们的执行顺序:spring的注入是在filter和listener之后的,(顺序是这样的listener>>filter >> servlet >>spring) 一:Session 1:session种类简介 ServletContext ¨ 生命周期监听:ServletContextListener,它有两个方法,一个在出生时调用,一个在死亡时调用; ² voidcontextInitialized(Serv...
SpringCloud(五) 微服务安全实战 基于sessionToken的sso
xy294636185的博客
04-15 687
基于Session的SSO: 客户端应用的session有效期,控制多长时间跳转一次认证服务器 客户端退出,认证服务器任然保留登录session状态,不会完全退出,前端退出后,要跳转到认证服务器上退出接口同时退出,下次登录认证服务器也需要跳转登录 @component public class OAuth2LogoutSuccessHandler implements LogoutSuccessHandler{ @override public void onLogoutSu..
sessionjwt 认证机制
u012138854的博客
11-19 733
1.什么是身份认证 身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 ⚫ 日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。 ⚫ 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。 2.不同开发模式下的身份认证 ① 服务端渲染推荐使用 Session 认证机制 ② 前后端分离推荐使用 JWT 认证机制 1. Session 认证机制 1. HT
用户登录认证和权限授权(SpringSecurity、JWTsession
m0_74824823的博客
12-09 1216
登录认证和权限授权是所有项目中必不可少的功能,本篇文章首先将通过最简单的方式(SessionJWT)实现登录认证和权限授权,然后再整合Springsecurity框架实现。Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。权限授权(Authorization)是对用户能否访问某个资源进行确认,这种通用逻辑都是放在过滤器里进行的统一操作。
Spring Security sessiontoken
卢大宝宝的博客
08-03 2142
一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。 弊端: 1、服务器压力增大 通常session是存储在内存中的,每个用
OAuth Token基于spring session实现单点登录
大军的博客
03-04 1314
OAuth Token基于spring session实现单点登录
服务器sessionjwt之争
weixin_34025151的博客
04-17 135
2019独角兽企业重金招聘Python工程师标准>>> ...
工作纪实_22-搭建分布式项目时使用spring-session替代token
~单人舞~的博客
01-21 931
分布式微服务`解决方案 分布式环境下,用户登录后的状态信息,一般有两种解决方案: 1.Token 步骤: 使用公钥、私钥对token进行相应的解密和加密操作,再通过网关层将用户信息通过header传递到各个服务,客户端服务接收到请求时候,解析header即可 2.服务之间的feign远程调用,通过网关层传递的请求中的header信息,解析出用户信息的同时,利用fein将用户信息透传到其他服务 2.分布式Session 单体服务下,session可以很好的帮助我们解决用户身份的会话状态问题,因为此刻我们只
SpringBoot】30 Cookie、SessionToken
寻道书生的博客
12-06 1228
Cookie 是 Http 状态保持在客户端的会话技术,是一段可以用来标识用户身份的数据,由服务端生成发送给客户端,以文本的形式保存在客户端,客户端每次向服务端发送请求时都需要携带该 Cookie,使服务端能够识别这些请求都是来自同一客户端,从而使这些请求之间可以数据共享。1)客户端:用户首次登录(如使用账号密码),发送登录请求2)服务端:接收登录请求,校验登录信息,校验通过返回 Cookie,校验失败返回登录错误信息3)客户端:登录成功,之后每次发送请求都携带该 Cookie,
Spring Boot 登录实现:JWTSession 全面对比与实战讲解
2301_79291071的博客
05-21 1763
对比了Spring Boot中两种常见的登录认证方式:SessionJWTSession通过在服务器端存储用户信息,依赖Cookie进行身份验证,适合传统Web应用,安全性高但跨域支持较差。JWT则通过客户端存储加密的Token,无状态且跨域友好,适合前后端分离和微服务架构。详细介绍了两种方式的原理、代码实现及优缺点。
整合Shiro SessionJWT登录
zollty的专栏
08-26 1579
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。 JWT登录的原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证成功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
SpringBoot与Spring Security结合JWT实现Token权限管理
资源摘要信息:"本资源是关于如何使用Spring Boot结合Spring Security和JWT来实现基于Token的权限管理系统的详细指南。文档涵盖了从系统设计到编码实现的全过程,并提供了完整的源代码供参考学习。该系统支持基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值