替换Servlet容器的HttpSession实现集群中Session共享(With Redis)
本文是我个人在开发web-security 安全框架中使用的方案。
在Web Server集群环境中需要实现 session 共享,一个很好的方法就是将 session 数据存放至 Redis 中。我打算在自己的安全框架中集成此功能,只需要几行配置就能自动让你的 web 项目集成 redis session 共享功能。
实现思路为:
将 Servlet 容器的HttpSession实现替换成自己的实现, 如RedisHttpSession。这样当在Controlelr中调用session.setAttr()此类方法时就可以执行自己的代码。我们编写一个Filter, 在调用chain.doFilter(req, resp)时,将HttpServletRequest对象替换成我们自定义的SecurityServletRequestWrapper对象,并重写getSession()和getSession(boolean)方法,让其返回我们自己的session对象,这样就完成了对session的完全控制 。
替换 Servlet 容器的 HttpSession 实现
首选需要编写SecurityServletRequestWrapper类:
public class SecurityServletRequestWrapper extends HttpServletRequestWrapper {
private static Logger log = LoggerFactory.getLogger(SecurityServletRequestWrapper.class);
private HttpSession session;
public SecurityServletRequestWrapper(HttpServletRequest request, HttpSession session) {
super(request);
if (null != session) {
this.session = session;
}
}
@Override
public HttpSession getSession() {
log.debug("getSession() invoked!");
return getSession(true);
}
/**
* 返回自定义的HttpSession实现
* @param create
* @return
*/
@Override
public HttpSession getSession(boolean create) {
log.debug("getSession(boolean) invoked!");
if (create && null == session) {
log.debug("creating new Session object!");
session = new NativeHttpSession(getServletContext());
}
return session;
}
}然后,编写一个filter, 用我们刚刚完成的SecurityHttpServetRequest替换掉doFilter()方法中的第一个参数,代码大致如下:
/**
* 遍历filters, 依次执行每一个过虑器
*/
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
// 将request对象替换成自定义的wrapper对象
req = new SecurityServletRequestWrapper(req, session);
chain.doFilter(req, response);
}
我们必须保证在请求到来时,该过滤器第一个被调用,请求完成后,该过虑器最后被调用。这样我们便可以在chain.doFilter()之前 添加从 Redis 中读取 session的代码,在chain.doFilter()之后添加刷新 session 至 redis 的代码:
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
// 如果开启了session cluster
// 执行session cluster相关逻辑
if (PageProtectionContextListener.SESSION_CLUSTER) {
// 尝试从存储仓库中查询session
HttpSession session = sessionDAO.loadSession(getSid(req));
logger.debug("session loaded, result => {}", session);
// 将request对象替换成自定义的wrapper对象
req = new SecurityServletRequestWrapper(req, session);
}
chain.doFilter(req, response);
// 执行session cluster相关逻辑
if (PageProtectionContextListener.SESSION_CLUSTER) {
// 刷新session数据
// 先判断有无session
HttpSession session = req.getSession(false);
// 如果没有session, 不做任何处理
if (null == session) {
return;
}
if (false == session instanceof NativeHttpSession) {
throw new UnsupportedFilterException("filter " + session.getClass() + " unsupported!");
}
NativeHttpSession nativeSession = (NativeHttpSession) session;
if (nativeSession.isDirty()) {
logger.debug("flushing session");
sessionDAO.flushSession(nativeSession);
}
}
}以上是整体实现思路和关键代码的实现,我们可以在此基础上,根据实际需求添加自己系统需要的功能。
原文地址:http://blog.csdn.net/neosmith/article/details/50857640
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· .NET10 - 预览版1新功能体验(一)
2016-08-24 用PHP提取MYSQL二进制日志的SQL语句