背景:

  Springboot 2.0 (spring-session-data-redis + spring-boot-starter-web)

需求:

  通过cookies中取到的 sessionid 获取到 session

预期效果:

  @Autowired

  private SessionRepositry sessionRepositry;

  ...

  Session session = sessionRespositry.findById(sessionId);

真实结果: 获取到的session是null, 然而通过 request.getSession(); 可以获取到session, 说明 session是存在的.

问题追踪后发现问题:

  cookie中的sessionId 与 session.getId() 不一样!!!

DEBUG:

  1. 先看一看SpringSession是如何从Cookie中获取sessionid的! (相关类: org.springframework.session.web.http.DefaultCookieSerializer)

  

  2. 再看一看 useBase64Encoding 的值是啥, 首先看默认值

  3. 看看这些配置是在哪里被(赋值)确认的, 一路追踪到 org.springframework.session.config.annotation.web.http.SpringHttpSessionConfiguration 配置类中

 看看 createDefaultCookieSerializer() 是如何实现的

  4. 从上面可以得出结论, 我们无法 通过配置文件 中 server.servlet.session.** 来配置 useBase64Encoding. 使 cookie中的 sessionid 与 session.getId() 保持一致

  

  5. 期间发现的另一个问题: 虽然 sessionCookieConfig 有httpOnly相关配置, 但这里并未将配置设入 cookieSerializer 中, 导致配置文件中的 server.servlet.session.cookie.httpOnly = false 不起作用

  

解决方案:

  第一种方案:  通过配置 自定义的 CookieSerializer 来指定配置信息(如果觉得麻烦请直接看第二种方案), 如下

  a) 首先因为 SessionCookieConfig 接口中并没有定义 isUseBase64Encoding() 等接口, 导致缺少了部分配置, 所以我 自定义了一个 MySessionCookieConfig 接口继承了 SessionCookieConfig, 并写了一个默认实现 MyDefaultSessionCookieConfig

package com.cardgame.demo.center.config;

import javax.servlet.SessionCookieConfig;

/**

 *

 * 补充 SessionCookie 中未定义的配置项

 * @author yjy

 * 2018-06-15 13:30

 */

public interface MySessionCookieConfig extends SessionCookieConfig {

    String getDomainPattern();

    void setDomainPattern(String domainPattern);

    String getJvmRoute();

    void setJvmRoute(String jvmRoute);

    boolean isUseBase64Encoding();

    void setUseBase64Encoding(boolean useBase64Encoding);

}

MySessionCookieConfig

package com.cardgame.demo.center.config;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 *

 * 涵盖 CookieSerializer 所有配置项

 * @author yjy

 * 2018-06-15 13:31

 */

@Component

@ConfigurationProperties(prefix = "server.servlet.session.cookie")

public class MyDefaultSessionCookieConfig implements MySessionCookieConfig {

    private String name = "SESSION";

    private String path;

    private String domain;

    private String comment;

    private int maxAge = -1;

    private String domainPattern;

    private String jvmRoute;

    private boolean httpOnly = true;

    private boolean secure = false;

    private boolean useBase64Encoding = false;

    @Override

    public String getDomainPattern() {

        return domainPattern;

    }

    @Override

    public void setDomainPattern(String domainPattern) {

        this.domainPattern = domainPattern;

    }

    @Override

    public String getJvmRoute() {

        return jvmRoute;

    }

    @Override

    public void setJvmRoute(String jvmRoute) {

        this.jvmRoute = jvmRoute;

    }

    @Override

    public boolean isUseBase64Encoding() {

        return useBase64Encoding;

    }

    @Override

    public void setUseBase64Encoding(boolean useBase64Encoding) {

        this.useBase64Encoding = useBase64Encoding;

    }

    @Override

    public String getName() {

        return name;

    }

    @Override

    public void setName(String name) {

        this.name = name;

    }

    @Override

    public String getPath() {

        return path;

    }

    @Override

    public void setPath(String path) {

        this.path = path;

    }

    @Override

    public String getDomain() {

        return domain;

    }

    @Override

    public void setDomain(String domain) {

        this.domain = domain;

    }

    @Override

    public String getComment() {

        return comment;

    }

    @Override

    public void setComment(String comment) {

        this.comment = comment;

    }

    @Override

    public boolean isHttpOnly() {

        return httpOnly;

    }

    @Override

    public void setHttpOnly(boolean httpOnly) {

        this.httpOnly = httpOnly;

    }

    @Override

    public boolean isSecure() {

        return secure;

    }

    @Override

    public void setSecure(boolean secure) {

        this.secure = secure;

    }

    @Override

    public int getMaxAge() {

        return maxAge;

    }

    @Override

    public void setMaxAge(int maxAge) {

        this.maxAge = maxAge;

    }

}

MyDefaultSessionCookieConfig

  b) 利用 MyDefaultSessionCookieConfig 携带的配置, 自定义 CookieSerializer Bean

package com.cardgame.demo.center.config;

import lombok.extern.slf4j.Slf4j;

import org.springframework.beans.BeansException;

import org.springframework.context.ApplicationContext;

import org.springframework.context.ApplicationContextAware;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;

import org.springframework.session.security.web.authentication.SpringSessionRememberMeServices;

import org.springframework.session.web.http.CookieSerializer;

import org.springframework.session.web.http.DefaultCookieSerializer;

import org.springframework.util.ClassUtils;

import org.springframework.util.ObjectUtils;

import javax.servlet.ServletContext;

import javax.servlet.SessionCookieConfig;

/**

 *

 * @author yjy

 * 2018-06-08 14:53

 */

@Slf4j

@Configuration

@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 3600, redisNamespace = "center")

public class RedisSessionConfig implements ApplicationContextAware {

    @Bean

    public CookieSerializer cookieSerializer(ServletContext servletContext, MySessionCookieConfig sessionCookieConfig) {

        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();

        if (servletContext != null) {

            if (sessionCookieConfig != null) {

                if (sessionCookieConfig.getName() != null)

                    cookieSerializer.setCookieName(sessionCookieConfig.getName());

                if (sessionCookieConfig.getDomain() != null)

                    cookieSerializer.setDomainName(sessionCookieConfig.getDomain());

                if (sessionCookieConfig.getPath() != null)

                    cookieSerializer.setCookiePath(sessionCookieConfig.getPath());

                if (sessionCookieConfig.getMaxAge() != -1)

                    cookieSerializer.setCookieMaxAge(sessionCookieConfig.getMaxAge());

                if (sessionCookieConfig.getDomainPattern() != null)

                    cookieSerializer.setDomainNamePattern(sessionCookieConfig.getDomainPattern());

                if (sessionCookieConfig.getJvmRoute() != null)

                    cookieSerializer.setJvmRoute(sessionCookieConfig.getJvmRoute());

                cookieSerializer.setUseSecureCookie(sessionCookieConfig.isSecure());

                cookieSerializer.setUseBase64Encoding(sessionCookieConfig.isUseBase64Encoding());

                cookieSerializer.setUseHttpOnlyCookie(sessionCookieConfig.isHttpOnly());

            }

        }

        if (ClassUtils.isPresent(

                "org.springframework.security.web.authentication.RememberMeServices",

                null)) {

            boolean usesSpringSessionRememberMeServices = !ObjectUtils

                    .isEmpty(this.context

                            .getBeanNamesForType(SpringSessionRememberMeServices.class));

            if (usesSpringSessionRememberMeServices) {

                cookieSerializer.setRememberMeRequestAttribute(

                        SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);

            }

        }

        return cookieSerializer;

    }

    private ApplicationContext context;

    @Override

    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {

        this.context = applicationContext;

    }

}

RedisSessionConfig

  c) 修改配置文件配置

  

  d) 配置完成后重新启动, 再看 SpringHttpSessionConfiguration 加载的时候, 拿到了我们自定义的 CookieSerializer, 我想要的配置都有了!! 打开浏览器测试通过!!

  第二种方案: 拿到 Cookie 中的 sessionId 后, 手动解码, 再 通过 sessionRespositry.findById(sessionId); 获取session

    a) 解码的方案 从 DefaultSerializer 类中 copy 一个 , 如下:

    /**

     * Decode the value using Base64.

     * @param base64Value the Base64 String to decode

     * @return the Base64 decoded value

     * @since 1.2.2

     */

    private String base64Decode(String base64Value) {

        try {

            byte[] decodedCookieBytes = Base64.getDecoder().decode(base64Value);

            return new String(decodedCookieBytes);

        }

        catch (Exception e) {

            return null;

        }

    }

    b) 获取步骤:

      String cookieSessionId = "XXX";

      String sessionId = base64Decode(cookieSessionId);

      Session session = sessionRespositry.findById(sessionId);

    c) 搞定! (此方案未解决 httpOnly 不起效的问题, 如果要解决 httpOnly = false , 请看方案一)

Spring Session产生的sessionid与cookies中的sessionid不一样的问题 && httpOnly 设置不起作用的问题??的更多相关文章

  1. Re:从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  2. Spring Session实现分布式session的简单示例

    前面有用 tomcat-redis-session-manager来实现分布式session管理,但是它有一定的局限性,主要是跟tomcat绑定太紧了,这里改成用Spring Session来管理分布 ...

  3. Spring Boot集成Spring Data Reids和Spring Session实现Session共享(多个不同的应用共用一个Redis实例)

    从Redis的Key入手,比如Spring Session在注解@EnableRedisHttpSession上提供了redisNamespace属性,只需要在这里设置不同的值即可,效果应该是这样的: ...

  4. 使用Spring Session实现Spring Boot水平扩展

    小编说:本文使用Spring Session实现了Spring Boot水平扩展,每个Spring Boot应用与其他水平扩展的Spring Boot一样,都能处理用户请求.如果宕机,Nginx会将请 ...

  5. (转)从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  6. Session机制详解及分布式中Session共享解决方案

    一.为什么要产生Session http协议本身是无状态的,客户端只需要向服务器请求下载内容,客户端和服务器都不记录彼此的历史信息,每一次请求都是独立的. 为什么是无状态的呢?因为浏览器与服务器是使用 ...

  7. 从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  8. Nginx+Tomcat搭建集群,Spring Session+Redis实现Session共享

    小伙伴们好久不见!最近略忙,博客写的有点少,嗯,要加把劲.OK,今天给大家带来一个JavaWeb中常用的架构搭建,即Nginx+Tomcat搭建服务集群,然后通过Spring Session+Redi ...

  9. Cookie中的sessionid与JSONP原理

    一.首先说明一下cookie中的sessionid的作用. 1.cookie只是一些文本内容,多是键值对的形式,是请求头中的一部分 2.http是无连接的 知道这两点,就可以很容易的理解session ...

随机推荐

  1. Docker 命令查询

    Docker — 从入门到实践 Docker 命令查询 基本语法 Docker 命令有两大类,客户端命令和服务端命令.前者是主要的操作接口,后者用来启动 Docker Daemon. 客户端命令:基本 ...

  2. Dlib Opencv cv2.fitEllipse用于人眼轮廓椭圆拟合

    dlib库的安装以及人脸特征点的识别分布分别在前两篇博文里面 Dlib Python 检测人脸特征点 Face Landmark Detection Mac OSX下安装dlib (Python) 这 ...

  3. Redis的两种持久化方式详细介绍

    一,Redis是一款基于内存的数据库,可以持久化,在企业中常用于缓存,相信大家都比较熟悉Redis了,下面主要分享下关于Redis持久化的两种模式 1.半持久化模式(RDB,filesnapshott ...

  4. Redis主从配置和哨兵监控配置——服务器端环境搭建

    一:介绍 公司用到的redis框架,主要分为cluster的缓存集群和sentinel中的哨兵主从.这种的选用方式一般需要更具业务场景来做区分,两种框架的配置图为:右图为哨兵主从框架和cliuster ...

  5. P4177 [CEOI2008]order 网络流,最小割,最大权闭合子图

    题目链接 \(Click\) \(Here\) 如果没有租用机器就是一个裸的最大权闭合子图.现在有了租用机器应该怎么办呢? 单独拆点是不行的,因为会和直接买下的情况脱离关系,租借是和连边直接相关的,那 ...

  6. Visual Studio Code 背景色自定义

    1 寻找主体配置文件:默认的颜色主题配置文件都位于$RELEASE/resources/app/extensions目录中.以theme-开头的目录即为颜色主题配置(事实上,其中有些是文件图标主题). ...

  7. C#调用Java的WebService添加SOAPHeader验证(2)

    C#调用Java的WebService添加SOAPHeader验证 上一篇链接如上,更像是 Net下采用GET/POST/SOAP方式动态调用WebService的简易灵活方法(C#) 来处理xml, ...

  8. Java中interrupt的使用

    通常我们会有这样的需求,即停止一个线程.在java的api中有stop.suspend等方法可以达到目的,但由于这些方法在使用上存在不安全性,会带来不好的副作用,不建议被使用.具体原因可以参考Why ...

  9. OS + CentOS cmake

    s Linux编译安装cmake最新版本 https://blog.51cto.com/sadoc/1910753 https://cmake.org/download/ https://github ...

  10. 【SQL】ROW_NUMBER() OVER(partition by 分组列 order by 排序列)用法详解+经典实例

    #用法说明 select row_number() over(partition by A order by B ) as rowIndex from table A :为分组字段 B:为分组后的排序 ...