背景:

  Springboot 2.0 (spring-session-data-redis + spring-boot-starter-web)

需求:

  通过cookies中取到的 sessionid 获取到 session

预期效果:

  @Autowired

  private SessionRepositry sessionRepositry;

  ...

  Session session = sessionRespositry.findById(sessionId);

真实结果: 获取到的session是null, 然而通过 request.getSession(); 可以获取到session, 说明 session是存在的.

问题追踪后发现问题:

  cookie中的sessionId 与 session.getId() 不一样!!!

DEBUG:

  1. 先看一看SpringSession是如何从Cookie中获取sessionid的! (相关类: org.springframework.session.web.http.DefaultCookieSerializer)

  

  2. 再看一看 useBase64Encoding 的值是啥, 首先看默认值

  3. 看看这些配置是在哪里被(赋值)确认的, 一路追踪到 org.springframework.session.config.annotation.web.http.SpringHttpSessionConfiguration 配置类中

 看看 createDefaultCookieSerializer() 是如何实现的

  4. 从上面可以得出结论, 我们无法 通过配置文件 中 server.servlet.session.** 来配置 useBase64Encoding. 使 cookie中的 sessionid 与 session.getId() 保持一致

  

  5. 期间发现的另一个问题: 虽然 sessionCookieConfig 有httpOnly相关配置, 但这里并未将配置设入 cookieSerializer 中, 导致配置文件中的 server.servlet.session.cookie.httpOnly = false 不起作用

  

解决方案:

  第一种方案:  通过配置 自定义的 CookieSerializer 来指定配置信息(如果觉得麻烦请直接看第二种方案), 如下

  a) 首先因为 SessionCookieConfig 接口中并没有定义 isUseBase64Encoding() 等接口, 导致缺少了部分配置, 所以我 自定义了一个 MySessionCookieConfig 接口继承了 SessionCookieConfig, 并写了一个默认实现 MyDefaultSessionCookieConfig

package com.cardgame.demo.center.config;

import javax.servlet.SessionCookieConfig;

/**

 *

 * 补充 SessionCookie 中未定义的配置项

 * @author yjy

 * 2018-06-15 13:30

 */

public interface MySessionCookieConfig extends SessionCookieConfig {

    String getDomainPattern();

    void setDomainPattern(String domainPattern);

    String getJvmRoute();

    void setJvmRoute(String jvmRoute);

    boolean isUseBase64Encoding();

    void setUseBase64Encoding(boolean useBase64Encoding);

}

MySessionCookieConfig

package com.cardgame.demo.center.config;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 *

 * 涵盖 CookieSerializer 所有配置项

 * @author yjy

 * 2018-06-15 13:31

 */

@Component

@ConfigurationProperties(prefix = "server.servlet.session.cookie")

public class MyDefaultSessionCookieConfig implements MySessionCookieConfig {

    private String name = "SESSION";

    private String path;

    private String domain;

    private String comment;

    private int maxAge = -1;

    private String domainPattern;

    private String jvmRoute;

    private boolean httpOnly = true;

    private boolean secure = false;

    private boolean useBase64Encoding = false;

    @Override

    public String getDomainPattern() {

        return domainPattern;

    }

    @Override

    public void setDomainPattern(String domainPattern) {

        this.domainPattern = domainPattern;

    }

    @Override

    public String getJvmRoute() {

        return jvmRoute;

    }

    @Override

    public void setJvmRoute(String jvmRoute) {

        this.jvmRoute = jvmRoute;

    }

    @Override

    public boolean isUseBase64Encoding() {

        return useBase64Encoding;

    }

    @Override

    public void setUseBase64Encoding(boolean useBase64Encoding) {

        this.useBase64Encoding = useBase64Encoding;

    }

    @Override

    public String getName() {

        return name;

    }

    @Override

    public void setName(String name) {

        this.name = name;

    }

    @Override

    public String getPath() {

        return path;

    }

    @Override

    public void setPath(String path) {

        this.path = path;

    }

    @Override

    public String getDomain() {

        return domain;

    }

    @Override

    public void setDomain(String domain) {

        this.domain = domain;

    }

    @Override

    public String getComment() {

        return comment;

    }

    @Override

    public void setComment(String comment) {

        this.comment = comment;

    }

    @Override

    public boolean isHttpOnly() {

        return httpOnly;

    }

    @Override

    public void setHttpOnly(boolean httpOnly) {

        this.httpOnly = httpOnly;

    }

    @Override

    public boolean isSecure() {

        return secure;

    }

    @Override

    public void setSecure(boolean secure) {

        this.secure = secure;

    }

    @Override

    public int getMaxAge() {

        return maxAge;

    }

    @Override

    public void setMaxAge(int maxAge) {

        this.maxAge = maxAge;

    }

}

MyDefaultSessionCookieConfig

  b) 利用 MyDefaultSessionCookieConfig 携带的配置, 自定义 CookieSerializer Bean

package com.cardgame.demo.center.config;

import lombok.extern.slf4j.Slf4j;

import org.springframework.beans.BeansException;

import org.springframework.context.ApplicationContext;

import org.springframework.context.ApplicationContextAware;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;

import org.springframework.session.security.web.authentication.SpringSessionRememberMeServices;

import org.springframework.session.web.http.CookieSerializer;

import org.springframework.session.web.http.DefaultCookieSerializer;

import org.springframework.util.ClassUtils;

import org.springframework.util.ObjectUtils;

import javax.servlet.ServletContext;

import javax.servlet.SessionCookieConfig;

/**

 *

 * @author yjy

 * 2018-06-08 14:53

 */

@Slf4j

@Configuration

@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 3600, redisNamespace = "center")

public class RedisSessionConfig implements ApplicationContextAware {

    @Bean

    public CookieSerializer cookieSerializer(ServletContext servletContext, MySessionCookieConfig sessionCookieConfig) {

        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();

        if (servletContext != null) {

            if (sessionCookieConfig != null) {

                if (sessionCookieConfig.getName() != null)

                    cookieSerializer.setCookieName(sessionCookieConfig.getName());

                if (sessionCookieConfig.getDomain() != null)

                    cookieSerializer.setDomainName(sessionCookieConfig.getDomain());

                if (sessionCookieConfig.getPath() != null)

                    cookieSerializer.setCookiePath(sessionCookieConfig.getPath());

                if (sessionCookieConfig.getMaxAge() != -1)

                    cookieSerializer.setCookieMaxAge(sessionCookieConfig.getMaxAge());

                if (sessionCookieConfig.getDomainPattern() != null)

                    cookieSerializer.setDomainNamePattern(sessionCookieConfig.getDomainPattern());

                if (sessionCookieConfig.getJvmRoute() != null)

                    cookieSerializer.setJvmRoute(sessionCookieConfig.getJvmRoute());

                cookieSerializer.setUseSecureCookie(sessionCookieConfig.isSecure());

                cookieSerializer.setUseBase64Encoding(sessionCookieConfig.isUseBase64Encoding());

                cookieSerializer.setUseHttpOnlyCookie(sessionCookieConfig.isHttpOnly());

            }

        }

        if (ClassUtils.isPresent(

                "org.springframework.security.web.authentication.RememberMeServices",

                null)) {

            boolean usesSpringSessionRememberMeServices = !ObjectUtils

                    .isEmpty(this.context

                            .getBeanNamesForType(SpringSessionRememberMeServices.class));

            if (usesSpringSessionRememberMeServices) {

                cookieSerializer.setRememberMeRequestAttribute(

                        SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);

            }

        }

        return cookieSerializer;

    }

    private ApplicationContext context;

    @Override

    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {

        this.context = applicationContext;

    }

}

RedisSessionConfig

  c) 修改配置文件配置

  

  d) 配置完成后重新启动, 再看 SpringHttpSessionConfiguration 加载的时候, 拿到了我们自定义的 CookieSerializer, 我想要的配置都有了!! 打开浏览器测试通过!!

  第二种方案: 拿到 Cookie 中的 sessionId 后, 手动解码, 再 通过 sessionRespositry.findById(sessionId); 获取session

    a) 解码的方案 从 DefaultSerializer 类中 copy 一个 , 如下:

    /**

     * Decode the value using Base64.

     * @param base64Value the Base64 String to decode

     * @return the Base64 decoded value

     * @since 1.2.2

     */

    private String base64Decode(String base64Value) {

        try {

            byte[] decodedCookieBytes = Base64.getDecoder().decode(base64Value);

            return new String(decodedCookieBytes);

        }

        catch (Exception e) {

            return null;

        }

    }

    b) 获取步骤:

      String cookieSessionId = "XXX";

      String sessionId = base64Decode(cookieSessionId);

      Session session = sessionRespositry.findById(sessionId);

    c) 搞定! (此方案未解决 httpOnly 不起效的问题, 如果要解决 httpOnly = false , 请看方案一)

Spring Session产生的sessionid与cookies中的sessionid不一样的问题 && httpOnly 设置不起作用的问题??的更多相关文章

  1. Re:从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  2. Spring Session实现分布式session的简单示例

    前面有用 tomcat-redis-session-manager来实现分布式session管理,但是它有一定的局限性,主要是跟tomcat绑定太紧了,这里改成用Spring Session来管理分布 ...

  3. Spring Boot集成Spring Data Reids和Spring Session实现Session共享(多个不同的应用共用一个Redis实例)

    从Redis的Key入手,比如Spring Session在注解@EnableRedisHttpSession上提供了redisNamespace属性,只需要在这里设置不同的值即可,效果应该是这样的: ...

  4. 使用Spring Session实现Spring Boot水平扩展

    小编说:本文使用Spring Session实现了Spring Boot水平扩展,每个Spring Boot应用与其他水平扩展的Spring Boot一样,都能处理用户请求.如果宕机,Nginx会将请 ...

  5. (转)从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  6. Session机制详解及分布式中Session共享解决方案

    一.为什么要产生Session http协议本身是无状态的,客户端只需要向服务器请求下载内容,客户端和服务器都不记录彼此的历史信息,每一次请求都是独立的. 为什么是无状态的呢?因为浏览器与服务器是使用 ...

  7. 从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  8. Nginx+Tomcat搭建集群,Spring Session+Redis实现Session共享

    小伙伴们好久不见!最近略忙,博客写的有点少,嗯,要加把劲.OK,今天给大家带来一个JavaWeb中常用的架构搭建,即Nginx+Tomcat搭建服务集群,然后通过Spring Session+Redi ...

  9. Cookie中的sessionid与JSONP原理

    一.首先说明一下cookie中的sessionid的作用. 1.cookie只是一些文本内容,多是键值对的形式,是请求头中的一部分 2.http是无连接的 知道这两点,就可以很容易的理解session ...

随机推荐

  1. Mac anaconda安装 “conda command not found” 解决方法

    官网下载包直接安装的时候可能会产生这种问题,这主要还是环境变量配置的问题 一般我们添加环境变量的方法是编辑.bash_profile或.bashrc,在文件里插入下面这段代码 export PATH= ...

  2. mobilebone与weiui_example.css 使用问题

    weiui_example.css 原page样式属性opacity设置为0 ... 由于我采取的是使用mobilebone,没按照weui官网的来搞这种效果,所以这里会有冲突,设置为默认即可,即op ...

  3. spring 中的设计模式

    https://mp.weixin.qq.com/s?__biz=MzU0MDEwMjgwNA==&mid=2247485205&idx=1&sn=63455d2313776d ...

  4. SpringBoot文件上传(MVC情况和webFlux情况)

    MVC情况 引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns=" ...

  5. ECharts将折线变平滑和去掉点的属性

    eries : [ { name:'your name', symbol:'none', //这句就是去掉点的 smooth:true, //这句就是让曲线变平滑的 type:'line', stac ...

  6. Struts2 返回 json 格式数据

    最近由于工作原因,没时间更新,那些没能看到的同学,很抱歉了,话不多说,继续写~~ 关于json的返回需要用到一个工具包来将书转换为json格式,在此用到的jar包为: import net.sf.js ...

  7. C++: 模板函数定义与声明分离;

    我们知道模板函数或模板类的定义一般都是和声明一起在头文件中,但是这样的话, 就暴露了内部实现,有什么办法能够将定义和声明进行分离呢? 答案是: 有的: 头文件: test.h; class test ...

  8. idea代码出现Usage of API documented as @since 1.8+ less... (Ctrl+F1)

    问题: Usage of API documented as @since 1.8+ less... (Ctrl+F1) This inspection finds all usages of met ...

  9. POJ1179Polygon(区间dp)

    啊~~ 被dp摁在地上摩擦的人 今天做了一道区间dp的题(POJ1179Polygon) 题目: Polygon Time Limit: 1000MS   Memory Limit: 10000K T ...

  10. Python认识到放弃

    基础入门 计算机硬件基础 变量 数据类型 基本运算符 变量常量 流程控制 数据类型 数字,字符串,列表 元组,字典,集合 字符编码 python2 python3 文件处理 文件读写 指针移动 函数 ...