Spring Session 整合 JWT Token

最新推荐文章于 2025-05-21 23:25:14 发布
原创 最新推荐文章于 2025-05-21 23:25:14 发布 · 5.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#session #spring

本文介绍了如何将Spring Session与JWT Token进行整合,通过创建自定义会话策略类关联两者,实现JWT token的会话管理。核心组件springSessionRepositoryFilter用于重写会话方法,配置MyHttpSessionStrategy覆盖默认策略。测试显示,即使在不同客户端,JWT token也能与特定会话关联,实现了会话共享和认证访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考文章:http://blog.youkuaiyun.com/qq351790934/article/details/54930049

依赖库 pom.xml

        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
            <version>1.3.1.RELEASE</version>
            <type>pom</type>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>4.3.4.RELEASE</version>
        </dependency>

Spring Session 默认的会话策略类是 CookieHttpSessionStrategy,其行为方式与 Tomcat 会话管理大同小异(但是存储方式不同,一个是redis远程存储,一个是堆内存),我们可以通过创建自己的会话策略类来干涉 Spring Session 的会话管理(很遗憾,目前Spring Session不支持自定义sessionId,为了让 jwt token 享受到会话管理,需要手动将两者关联起来)

/**
 * 自定义的 Spring Session 会话策略
 */
public class MyHttpSessionStrategy implements HttpSessionStrategy {

    //框架默认的会话策略,之所以选择组合的方式,是因为该类是 final,无法继承
    private static final CookieHttpSessionStrategy strategy = new CookieHttpSessionStrategy();

    //<JWT Token, 会话id>,应改成 redis 远程存储管理,此处仅用于演示
    private static final Map<String, String> token2SessionId = new ConcurrentHashMap<>();

    private static final String TOKEN_NAME = "x-jwt-token";

    //当获取会话时回调此方法,返回的sessionid用于从redis取得对应的会话对象
    @Override
    public String getRequestedSessionId(HttpServletRequest request) {
        //从HTTP头部或参数获取 jwt token
        String token = getJwtToken(request);
        if (null != token && !token.equals("")) {
            //寻找token对应的sessioid
            String sessionId = token2SessionId.get(token);
            if (null != sessionId) {
                System.out.println("发现 JWT(" + token + "),其关联会话: " + sessionId);
                return sessionId;
            }

        }
        //框架默认的会话策略,从Cookie获取sessionid
        return strategy.getRequestedSessionId(request);
    }

    //当新建会话时回调此方法
    @Override
    public void onNewSession(Session session, HttpServletRequest request, HttpServletResponse response) {
        String token = getJwtToken(request);
        if (null != token && !token.equals("")) {
            String old = token2SessionId.get(token);
            if (null != old) {
                //会话已存在
            } else {
                //将Token关联新会话,至于JWT的校验流程可由后续处理
                token2SessionId.put(token, session.getId());
            }

        }
        //框架默认的会话策略,将sessionid写入cookie
        strategy.onNewSession(session, request, response);
    }

    //当会话过期时回调此方法
    @Override
    public void onInvalidateSession(HttpServletRequest request, HttpServletResponse response) {
        String token = getJwtToken(request);
        if (null != token && !token.equals("")) {
            token2SessionId.remove(token);
        }

        strategy.onInvalidateSession(request, response);
    }

    private String getJwtToken(HttpServletRequest request) {
        return null != request.getHeader(TOKEN_NAME) ? request.getHeader(TOKEN_NAME) : request.getParameter(TOKEN_NAME);
    }

    /**
     *
     * @param token
     * @param sessionId
     * @return true表示新旧会话一致; false表示新旧会话不一样,既然旧会话是有效的,呢么新会话就是多余的,可回收
     */
    public static boolean checkAndSetSessionId(String token, String sessionId) {
        String old = token2SessionId.get(token);
        if (null != old) {
            //会话已存在
            System.out.println("Token(" + token + ") 会话已存在:" + sessionId + "; 选择无视新会话");
            //判断新旧会话是否相同
            return sessionId.equals(old);
        } else {
            //将 JWT Token 与 sessionId 关联起来
            token2SessionId.put(token, sessionId);
            System.out.println("将计算得到的 Token(" + token + ") 关联 会话id(" + sessionId + ")");
        }

        return true;
    }

}

配置Spring Sessio最核心的一个组件,springSessionRepositoryFilter,其位于过滤链最前端,用于重写会话相关的方法;Spring应用只需要如下代码,其他的例如集成Spring Boot、Spring Security可参考官方示例

public class Initializer extends AbstractHttpSessionApplicationInitializer {

    public Initializer() {
        super(Config.class);
    }
}

配置MyHttpSessionStrategy,以覆盖Spring容器中默认的会话策略(CookieHttpSessionStrategy)

@EnableRedisHttpSession
public class Config {

    @Bean
    public JedisConnectionFactory connectionFactory() {
        JedisConnectionFactory connection = new JedisConnectionFactory();
        connection.setPort(6379);
        connection.setHostName("127.0.0.1");
//        connection.setPassword("password");
        connection.setDatabase(8);
        return connection;
    }

    @Bean
    public HttpSessionStrategy httpSessionStrategy() {
        return new MyHttpSessionStrategy();
    }
}

定义一个登录Servlet,用于测试

@WebServlet("/login")
public class LoginServlet extends HttpServlet {

    private static final long serialVersionUID = 2878267318695777395L;

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        String sessionId = req.getSession().getId();
        System.out.println("当前会话id为:" + sessionId);

        String username = req.getParameter("username");
        String password = req.getParameter("password");
        if (null != username && username.equals("username") && null != password && password.equals("password")){
            //模拟 JWT 计算得到 token
            String token = "HelloWorld";
            if (!MyHttpSessionStrategy.checkAndSetSessionId(token, sessionId)){
                //表示新旧会话不同,既然旧会话是有效的,呢么新会话就是多余的,可回收
                System.out.println("JWT Token已存在会话,可重复使用,当前新会话是多余的");
                req.getSession().invalidate();
            }
        }
    }
}

测试开始,先普通地访问Servlet,不传任何参数,输出为

当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea
当前会话id为:75f67e86-cf3d-4672-be6c-8fb5c7be80ea

可以看到,与普通的浏览器会话管理一样,只要浏览器不关闭,会话能保持30分钟;

传参 username 和 password,尝试第一次登录

当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
将计算得到的 Token(HelloWorld) 关联 会话id(41aa06d2-13d5-4d13-8251-c8be9a74d687)

不关闭浏览器,继续尝试第二、第三次重复登录

当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
Token(HelloWorld) 会话已存在:41aa06d2-13d5-4d13-8251-c8be9a74d687; 选择无视新会话
当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
Token(HelloWorld) 会话已存在:41aa06d2-13d5-4d13-8251-c8be9a74d687; 选择无视新会话

关闭浏览器,重新启动以模拟不同的客户端,尝试第四、第五次重复登录

当前会话id为:b4385394-7553-4de7-9125-a893b840d16b
Token(HelloWorld) 会话已存在:b4385394-7553-4de7-9125-a893b840d16b; 选择无视新会话
JWT Token已存在会话,可重复使用,当前新会话是多余的
当前会话id为:45a66d45-c328-4c1a-a774-f1612c2cd727
Token(HelloWorld) 会话已存在:45a66d45-c328-4c1a-a774-f1612c2cd727; 选择无视新会话
JWT Token已存在会话,可重复使用,当前新会话是多余的

可以看到,每一个 JWT token 都能唯一关联固定的会话,实现了不同客户端共享同一个会话(如果需要其他逻辑,可自定义实现)

最后,传参 x-jwt-token:HelloWorld,实现 token 认证访问

发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
当前会话id为:41aa06d2-13d5-4d13-8251-c8be9a74d687
发现 JWT(HelloWorld),其关联会话: 41aa06d2-13d5-4d13-8251-c8be9a74d687
SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
Spring Boot 整合 JWT token 实现登录鉴权
include_hcj的博客
08-11 1374
JWT token 是一种经过加密的字符串,其中包含了加密的载体信息(例如登录用户的信息),经过解密后可以得到加密的载体信息。我们可以使用 JWT token 实现用户登录鉴权,例如:前后端分离并且不使用 session 保存用户登录状态的项目中,前端登录后,服务器将 token 字符串返回给浏览器保存,此后浏览器的请求都携带 token 字符串发送。服务端解密请求的 token 字符串,确定是有效 token 后,再进行后续业务处理。...
Spring session调研(Cookie、Token)
lindan1984的专栏
02-24 1761
在大部分时候,我们在讨论API的设计时,会从功能的角度出发定义出完善的、易用的API。而很多时候,非功能需求如安全需求则会在很晚才加入考虑。而往往这部分会涉及很多额外的工作量,比如与外部的SSO集成,Token机制等等。对该安全需求,一般有如下方案:•  基于session的认证鉴权•  基于token的认证鉴权基于session由于HTTP协议本身是无状态的,服务器需要某种机制来区分每个请求。比...
单点登录-SSO-jwt-springSession
aggie4628的专栏
05-30 540
1.什么是SSO?什么是单点登录 1.1.session存了什么? 1.2.浏览器同源策略 1.3.session共享与session复制(不可用方案) 1.4 session复制到session不复制| 1.5.跨域访问2.SpringSession+redis 3. token(一串字符串) 3.1 token包含什么? 3.2 token怎么获得? 4.JWT4.1JWT是什么 4.2JWT组成 4.3JWT实现 4.3.1 main() createToke...
Spring Boot 登录实现:JWTSession 全面对比与实战讲解
最新发布
2301_79291071的博客
05-21 1776
对比了Spring Boot中两种常见的登录认证方式:SessionJWTSession通过在服务器端存储用户信息,依赖Cookie进行身份验证,适合传统Web应用,安全性高但跨域支持较差。JWT则通过客户端存储加密的Token,无状态且跨域友好,适合前后端分离和微服务架构。详细介绍了两种方式的原理、代码实现及优缺点。
用户服务模块(Spring Session底层原理与Jwt会话管理)
Neayom
05-24 571
一、Spring Session底层原理 昨天用Spring Session实现了用户分布式Session,那么为什么集成了springSession之后就可以把session存放在redis里面去?原理是什么? (一) Spring Session底层原理 通过一个SessionRepositoryFilter将请求中原生的request、response以及HttpSession拦截,并做一个包装,重写内部获取session的逻辑,将getSession()做了一个重写。 那么此时Controller中
告别sessionspring 集成 jwt 验证方式
热门推荐
小浩子的博客
05-05 3万+
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别人
SpringCloud下SessionJWT的使用
thciwei的博客
12-21 1429
作者Gitee地址 https://gitee.com/thciweicloud 作者项目 面包博客,一个微服务架构的前后端分离博客系统。 前段时间面包博客整合第三方登录时需要获取用户的具体信息,并提供给前端使用,想到了使用session,之后发现对于前后端分离项目并不合理,最后采用了token的方式顺畅解决了问题 Session一致性 因为分布式场景下session容易不一致,父域和子域session不共享,且网络性能更是重要的一环,在此场景下大致有三种解决方案 1.开启tomcat自带的session
Spring Boot 集成JWT实现Token验证详解
ning的博客
11-09 1564
Token是一种令牌,它在用户登录后由服务器生成并返回给客户端,客户端在随后的请求中将Token附在HTTP请求头中,以此来验证用户的身份。Token通常包含了用户的身份信息和一些其他的元数据。JWT(Json Web Tokens)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在双方之间以JSON对象的形式安全地传输信息。每个Token都是经过数字签名的,因此可以被验证和信任。JWT可以使用秘密(对称加密)或使用RSA或ECDSA的公钥/私钥对(非对称加密)进行签名。
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
【第八篇】SpringSecurity基于JWT实现Token
筱白爱学习!的博客
06-14 903
SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 673
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
SpringBoot集成JWT,与session的区别
Gelouc的博客
03-15 812
SpringBoot集成JWT实现token,与session的区别 什么是JWT Json web token (JWT),它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 JWT的结构 JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了JWT字符串。 Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型) Payload 负载 (类似于飞机上承载的物品) Signature 签名/签
spring框架中的session,cookie,token令牌
苍煜
09-01 2100
前言: 他们的执行顺序:spring的注入是在filter和listener之后的,(顺序是这样的listener>>filter >> servlet >>spring) 一:Session 1:session种类简介 ServletContext ¨ 生命周期监听:ServletContextListener,它有两个方法,一个在出生时调用,一个在死亡时调用; ² voidcontextInitialized(Serv...
SpringCloud(五) 微服务安全实战 基于sessionToken的sso
xy294636185的博客
04-15 687
基于Session的SSO: 客户端应用的session有效期,控制多长时间跳转一次认证服务器 客户端退出,认证服务器任然保留登录session状态,不会完全退出,前端退出后,要跳转到认证服务器上退出接口同时退出,下次登录认证服务器也需要跳转登录 @component public class OAuth2LogoutSuccessHandler implements LogoutSuccessHandler{ @override public void onLogoutSu..
sessionjwt 认证机制
u012138854的博客
11-19 734
1.什么是身份认证 身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 ⚫ 日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。 ⚫ 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。 2.不同开发模式下的身份认证 ① 服务端渲染推荐使用 Session 认证机制 ② 前后端分离推荐使用 JWT 认证机制 1. Session 认证机制 1. HT
用户登录认证和权限授权(SpringSecurity、JWTsession
m0_74824823的博客
12-09 1219
登录认证和权限授权是所有项目中必不可少的功能,本篇文章首先将通过最简单的方式(SessionJWT)实现登录认证和权限授权,然后再整合Springsecurity框架实现。Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。权限授权(Authorization)是对用户能否访问某个资源进行确认,这种通用逻辑都是放在过滤器里进行的统一操作。
Spring Security sessiontoken
卢大宝宝的博客
08-03 2142
一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。 弊端: 1、服务器压力增大 通常session是存储在内存中的,每个用
OAuth Token基于spring session实现单点登录
大军的博客
03-04 1314
OAuth Token基于spring session实现单点登录
SpringBoot与Spring Security结合JWT实现Token权限管理
资源摘要信息:"本资源是关于如何使用Spring Boot结合Spring Security和JWT来实现基于Token的权限管理系统的详细指南。文档涵盖了从系统设计到编码实现的全过程,并提供了完整的源代码供参考学习。该系统支持基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值