Spring Session - Spring Boot

このガイドでは、Spring Boot を使用するときに、Spring Session を使用して Redis を透過的に活用し、Web アプリケーションの HttpSession をバックアップする方法について説明します。

完成したガイドは、Boot サンプルアプリケーションにあります

依存関係の更新

Spring Session を Redis とともに使用する前に、適切な依存関係があることを確認する必要があります。動作する Spring Boot Web アプリケーションを使用していることを前提としています。

pom.xml
<dependencies>
	<!-- ... -->

	<dependency>
		<groupId>org.springframework.session</groupId>
		<artifactId>spring-session-data-redis</artifactId>
	</dependency>
</dependencies>
build.gradle
implementation("org.springframework.session:spring-session-data-redis")

Spring Boot は Spring Session モジュールの依存関係管理を提供するため、依存関係のバージョンを明示的に宣言する必要はありません。

Spring Boot の設定

必要な依存関係を追加した後、Spring Boot 構成を作成できます。ファーストクラスの自動構成サポートのおかげで、依存関係を追加するだけで、Spring Boot が Redis をサポートする Spring Session をセットアップします。

内部的には、Spring Boot は、@EnableRedisHttpSession アノテーションを手動で追加するのと同等の構成を適用します。これにより、Filter を実装する springSessionRepositoryFilter という名前の Spring Bean が作成されます。このフィルターは、Spring Session によってサポートされる HttpSession 実装の置き換えを担当します。

次のように、application.properties を使用すると、さらにカスタマイズできます。

src/main/resources/application.properties
server.servlet.session.timeout= # Session timeout. If a duration suffix is not specified, seconds is used.
spring.session.redis.flush-mode=on_save # Sessions flush mode.
spring.session.redis.namespace=spring:session # Namespace for keys used to store sessions.

詳細については、Spring Boot ドキュメントの Spring Session の部分を参照してください。

Redis 接続の構成

Spring Boot は、Spring Session をローカルホスト上の Redis サーバーのポート 6379(デフォルトポート)に接続する RedisConnectionFactory を自動的に作成します。本番環境では、Redis サーバーを指すように構成を更新する必要があります。例: application.properties に以下を含めることができます。

src/main/resources/application.properties
spring.data.redis.host=localhost # Redis server host.
spring.data.redis.password= # Login password of the redis server.
spring.data.redis.port=6379 # Redis server port.

詳細については、Spring Boot ドキュメントの Redis への接続の部分を参照してください。

サーブレットコンテナーの初期化

Spring Boot の設定は、Filter を実装する springSessionRepositoryFilter という名前の Spring Bean を作成しました。springSessionRepositoryFilter Bean は、HttpSession を Spring Session によるカスタム実装に置き換えるロールを果たします。

Filter がその魔法を実行するために、Spring は Config クラスをロードする必要があります。最後に、サーブレットコンテナー(つまり、Tomcat)がすべてのリクエストに springSessionRepositoryFilter を使用するようにする必要があります。幸い、Spring Boot がこれらの両方の手順を実行してくれます。

Boot サンプルアプリケーション

Boot サンプルアプリケーションは、Spring Boot を使用するときに、Spring Session を使用して Redis を透過的に活用し、Web アプリケーションの HttpSession をバックアップする方法を示しています。

Boot サンプルアプリケーションの実行

サンプルを実行するには、ソースコードを取得し、次のコマンドを呼び出します。

$ ./gradlew :spring-session-sample-boot-redis:bootRun
サンプルを機能させるには、ローカルホストで Redis 2.8+ をインストールします (英語) を実行し、デフォルトのポート (6379) で実行する必要があります。または、Redis サーバーを指すように RedisConnectionFactory を更新することもできます。もう 1 つのオプションは、Docker (英語) を使用してローカルホストで Redis を実行することです。詳細な手順については、Docker Redis リポジトリ (英語) を参照してください。

これで、localhost:8080/ でアプリケーションにアクセスできるようになります。

security サンプルアプリケーションの探索

これで、アプリケーションを使用してみることができます。次のように入力してログインします。

  • ユーザー名 user

  • パスワード password

次に、"ログイン " ボタンをクリックします。前に入力したユーザーでログインしていることを示すメッセージが表示されます。ユーザーの情報は、Tomcat の HttpSession 実装ではなく Redis に保存されます。

それはどのように機能しますか?

Tomcat の HttpSession を使用する代わりに、Redis で値を保持します。Spring Session は、HttpSession を Redis による実装に置き換えます。Spring Security の SecurityContextPersistenceFilter が SecurityContext を HttpSession に保存すると、Redis に永続化されます。

新しい HttpSession が作成されると、Spring Session はブラウザーに SESSION という名前の Cookie を作成します。その Cookie には、セッションの ID が含まれています。Cookie を表示できます(Chrome (英語) または Firefox [Mozilla] (英語) を使用)。

redis-cli を使用してセッションを削除できます。例: Linux ベースのシステムでは、次のように入力できます。

	$ redis-cli keys '*' | xargs redis-cli del
Redis のドキュメントには、redis-cli のインストール (英語) 手順が記載されています。

または、明示的なキーを削除することもできます。これを行うには、ターミナルに次のように入力します。必ず 7e8383a4-082c-4ffe-a4bc-c40fd3363c5e を SESSION Cookie の値に置き換えてください。

	$ redis-cli del spring:session:sessions:7e8383a4-082c-4ffe-a4bc-c40fd3363c5e

これで、localhost:8080/ のアプリケーションにアクセスして、認証されなくなったことを確認できます。