背景:

  Springboot 2.0 (spring-session-data-redis + spring-boot-starter-web)

需求:

  通过cookies中取到的 sessionid 获取到 session

预期效果:

  @Autowired

  private SessionRepositry sessionRepositry;

  ...

  Session session = sessionRespositry.findById(sessionId);

真实结果: 获取到的session是null, 然而通过 request.getSession(); 可以获取到session, 说明 session是存在的.

问题追踪后发现问题:

  cookie中的sessionId 与 session.getId() 不一样!!!

DEBUG:

  1. 先看一看SpringSession是如何从Cookie中获取sessionid的! (相关类: org.springframework.session.web.http.DefaultCookieSerializer)

  

  2. 再看一看 useBase64Encoding 的值是啥, 首先看默认值

  3. 看看这些配置是在哪里被(赋值)确认的, 一路追踪到 org.springframework.session.config.annotation.web.http.SpringHttpSessionConfiguration 配置类中

 看看 createDefaultCookieSerializer() 是如何实现的

  4. 从上面可以得出结论, 我们无法 通过配置文件 中 server.servlet.session.** 来配置 useBase64Encoding. 使 cookie中的 sessionid 与 session.getId() 保持一致

  

  5. 期间发现的另一个问题: 虽然 sessionCookieConfig 有httpOnly相关配置, 但这里并未将配置设入 cookieSerializer 中, 导致配置文件中的 server.servlet.session.cookie.httpOnly = false 不起作用

  

解决方案:

  第一种方案:  通过配置 自定义的 CookieSerializer 来指定配置信息(如果觉得麻烦请直接看第二种方案), 如下

  a) 首先因为 SessionCookieConfig 接口中并没有定义 isUseBase64Encoding() 等接口, 导致缺少了部分配置, 所以我 自定义了一个 MySessionCookieConfig 接口继承了 SessionCookieConfig, 并写了一个默认实现 MyDefaultSessionCookieConfig

package com.cardgame.demo.center.config;

import javax.servlet.SessionCookieConfig;

/**

 *

 * 补充 SessionCookie 中未定义的配置项

 * @author yjy

 * 2018-06-15 13:30

 */

public interface MySessionCookieConfig extends SessionCookieConfig {

    String getDomainPattern();

    void setDomainPattern(String domainPattern);

    String getJvmRoute();

    void setJvmRoute(String jvmRoute);

    boolean isUseBase64Encoding();

    void setUseBase64Encoding(boolean useBase64Encoding);

}

MySessionCookieConfig

package com.cardgame.demo.center.config;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 *

 * 涵盖 CookieSerializer 所有配置项

 * @author yjy

 * 2018-06-15 13:31

 */

@Component

@ConfigurationProperties(prefix = "server.servlet.session.cookie")

public class MyDefaultSessionCookieConfig implements MySessionCookieConfig {

    private String name = "SESSION";

    private String path;

    private String domain;

    private String comment;

    private int maxAge = -1;

    private String domainPattern;

    private String jvmRoute;

    private boolean httpOnly = true;

    private boolean secure = false;

    private boolean useBase64Encoding = false;

    @Override

    public String getDomainPattern() {

        return domainPattern;

    }

    @Override

    public void setDomainPattern(String domainPattern) {

        this.domainPattern = domainPattern;

    }

    @Override

    public String getJvmRoute() {

        return jvmRoute;

    }

    @Override

    public void setJvmRoute(String jvmRoute) {

        this.jvmRoute = jvmRoute;

    }

    @Override

    public boolean isUseBase64Encoding() {

        return useBase64Encoding;

    }

    @Override

    public void setUseBase64Encoding(boolean useBase64Encoding) {

        this.useBase64Encoding = useBase64Encoding;

    }

    @Override

    public String getName() {

        return name;

    }

    @Override

    public void setName(String name) {

        this.name = name;

    }

    @Override

    public String getPath() {

        return path;

    }

    @Override

    public void setPath(String path) {

        this.path = path;

    }

    @Override

    public String getDomain() {

        return domain;

    }

    @Override

    public void setDomain(String domain) {

        this.domain = domain;

    }

    @Override

    public String getComment() {

        return comment;

    }

    @Override

    public void setComment(String comment) {

        this.comment = comment;

    }

    @Override

    public boolean isHttpOnly() {

        return httpOnly;

    }

    @Override

    public void setHttpOnly(boolean httpOnly) {

        this.httpOnly = httpOnly;

    }

    @Override

    public boolean isSecure() {

        return secure;

    }

    @Override

    public void setSecure(boolean secure) {

        this.secure = secure;

    }

    @Override

    public int getMaxAge() {

        return maxAge;

    }

    @Override

    public void setMaxAge(int maxAge) {

        this.maxAge = maxAge;

    }

}

MyDefaultSessionCookieConfig

  b) 利用 MyDefaultSessionCookieConfig 携带的配置, 自定义 CookieSerializer Bean

package com.cardgame.demo.center.config;

import lombok.extern.slf4j.Slf4j;

import org.springframework.beans.BeansException;

import org.springframework.context.ApplicationContext;

import org.springframework.context.ApplicationContextAware;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;

import org.springframework.session.security.web.authentication.SpringSessionRememberMeServices;

import org.springframework.session.web.http.CookieSerializer;

import org.springframework.session.web.http.DefaultCookieSerializer;

import org.springframework.util.ClassUtils;

import org.springframework.util.ObjectUtils;

import javax.servlet.ServletContext;

import javax.servlet.SessionCookieConfig;

/**

 *

 * @author yjy

 * 2018-06-08 14:53

 */

@Slf4j

@Configuration

@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 3600, redisNamespace = "center")

public class RedisSessionConfig implements ApplicationContextAware {

    @Bean

    public CookieSerializer cookieSerializer(ServletContext servletContext, MySessionCookieConfig sessionCookieConfig) {

        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();

        if (servletContext != null) {

            if (sessionCookieConfig != null) {

                if (sessionCookieConfig.getName() != null)

                    cookieSerializer.setCookieName(sessionCookieConfig.getName());

                if (sessionCookieConfig.getDomain() != null)

                    cookieSerializer.setDomainName(sessionCookieConfig.getDomain());

                if (sessionCookieConfig.getPath() != null)

                    cookieSerializer.setCookiePath(sessionCookieConfig.getPath());

                if (sessionCookieConfig.getMaxAge() != -1)

                    cookieSerializer.setCookieMaxAge(sessionCookieConfig.getMaxAge());

                if (sessionCookieConfig.getDomainPattern() != null)

                    cookieSerializer.setDomainNamePattern(sessionCookieConfig.getDomainPattern());

                if (sessionCookieConfig.getJvmRoute() != null)

                    cookieSerializer.setJvmRoute(sessionCookieConfig.getJvmRoute());

                cookieSerializer.setUseSecureCookie(sessionCookieConfig.isSecure());

                cookieSerializer.setUseBase64Encoding(sessionCookieConfig.isUseBase64Encoding());

                cookieSerializer.setUseHttpOnlyCookie(sessionCookieConfig.isHttpOnly());

            }

        }

        if (ClassUtils.isPresent(

                "org.springframework.security.web.authentication.RememberMeServices",

                null)) {

            boolean usesSpringSessionRememberMeServices = !ObjectUtils

                    .isEmpty(this.context

                            .getBeanNamesForType(SpringSessionRememberMeServices.class));

            if (usesSpringSessionRememberMeServices) {

                cookieSerializer.setRememberMeRequestAttribute(

                        SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);

            }

        }

        return cookieSerializer;

    }

    private ApplicationContext context;

    @Override

    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {

        this.context = applicationContext;

    }

}

RedisSessionConfig

  c) 修改配置文件配置

  

  d) 配置完成后重新启动, 再看 SpringHttpSessionConfiguration 加载的时候, 拿到了我们自定义的 CookieSerializer, 我想要的配置都有了!! 打开浏览器测试通过!!

  第二种方案: 拿到 Cookie 中的 sessionId 后, 手动解码, 再 通过 sessionRespositry.findById(sessionId); 获取session

    a) 解码的方案 从 DefaultSerializer 类中 copy 一个 , 如下:

    /**

     * Decode the value using Base64.

     * @param base64Value the Base64 String to decode

     * @return the Base64 decoded value

     * @since 1.2.2

     */

    private String base64Decode(String base64Value) {

        try {

            byte[] decodedCookieBytes = Base64.getDecoder().decode(base64Value);

            return new String(decodedCookieBytes);

        }

        catch (Exception e) {

            return null;

        }

    }

    b) 获取步骤:

      String cookieSessionId = "XXX";

      String sessionId = base64Decode(cookieSessionId);

      Session session = sessionRespositry.findById(sessionId);

    c) 搞定! (此方案未解决 httpOnly 不起效的问题, 如果要解决 httpOnly = false , 请看方案一)

Spring Session产生的sessionid与cookies中的sessionid不一样的问题 && httpOnly 设置不起作用的问题??的更多相关文章

  1. Re:从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  2. Spring Session实现分布式session的简单示例

    前面有用 tomcat-redis-session-manager来实现分布式session管理,但是它有一定的局限性,主要是跟tomcat绑定太紧了,这里改成用Spring Session来管理分布 ...

  3. Spring Boot集成Spring Data Reids和Spring Session实现Session共享(多个不同的应用共用一个Redis实例)

    从Redis的Key入手,比如Spring Session在注解@EnableRedisHttpSession上提供了redisNamespace属性,只需要在这里设置不同的值即可,效果应该是这样的: ...

  4. 使用Spring Session实现Spring Boot水平扩展

    小编说:本文使用Spring Session实现了Spring Boot水平扩展,每个Spring Boot应用与其他水平扩展的Spring Boot一样,都能处理用户请求.如果宕机,Nginx会将请 ...

  5. (转)从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  6. Session机制详解及分布式中Session共享解决方案

    一.为什么要产生Session http协议本身是无状态的,客户端只需要向服务器请求下载内容,客户端和服务器都不记录彼此的历史信息,每一次请求都是独立的. 为什么是无状态的呢?因为浏览器与服务器是使用 ...

  7. 从零开始的Spring Session(一)

    Session和Cookie这两个概念,在学习java web开发之初,大多数人就已经接触过了.最近在研究跨域单点登录的实现时,发现对于Session和Cookie的了解,并不是很深入,所以打算写两篇 ...

  8. Nginx+Tomcat搭建集群,Spring Session+Redis实现Session共享

    小伙伴们好久不见!最近略忙,博客写的有点少,嗯,要加把劲.OK,今天给大家带来一个JavaWeb中常用的架构搭建,即Nginx+Tomcat搭建服务集群,然后通过Spring Session+Redi ...

  9. Cookie中的sessionid与JSONP原理

    一.首先说明一下cookie中的sessionid的作用. 1.cookie只是一些文本内容,多是键值对的形式,是请求头中的一部分 2.http是无连接的 知道这两点,就可以很容易的理解session ...

随机推荐

  1. 消息队列与Kafka

    2019-04-09 关键词: 消息队列.为什么使用消息队列.消息队列的好处.消息队列的意义.Kafka是什么 本篇文章系本人就当前所掌握的知识关于 消息队列 与 kafka 知识点的一些简要介绍,不 ...

  2. tcpdump常用参数说明及常见操作

    tcpdump常用参数说明及常见操作 -a 将网络地址和广播地址转变成名字 -c 指定抓包的数量 -d 将匹配信息包的代码以人们能够理解的汇编格式给出 -dd 将匹配信息包的代码以c语言程序段的格式给 ...

  3. 使用ubuntu做为dotnet core开发环境

    一.安装google浏览器 1.下载安装包(传送门:http://www.google.cn/intl/zh-CN/chrome/browser/desktop/index.html) 2.使用sud ...

  4. CF802C Heidi and Library (hard)

    题目描述 你有一个容量为k的空书架,现在共有n个请求,每个请求给定一本书ai,如果你的书架里没有这本书,你就必须以ci的价格购买这本书放入书架.当然,你可以在任何时候丢掉书架里的某本书.请求出完成这n ...

  5. ACM-ICPC 2018 徐州赛区网络预赛 HRyuji doesn't want to study 树状数组

    题目链接:https://nanti.jisuanke.com/t/A2007 题目大意:有一个序列含有n个数a[1],a[2],a[3],……a[n],有两种操作: 第一种操作:k=1,l,r,询问 ...

  6. (转)Java回收对象的标记 和 对象的二次标记过程

    Java回收对象的标记 和 对象的二次标记过程 二次标记 针对这个问题,虚拟机的做法是进行两次标记,即第一次标记不在“关系网”中的对象.第二次的话就要先判断该对象有没有实现finalize()方法了, ...

  7. SAM求多个串的最长公共子串

    又学到一个\(SAM\)的新套路QvQ 思路 考虑用其中的一个串建个\(SAM\),然后用其他的串在上面匹配,匹配时更新答案 首先有一个全局变量\(len\),表示当前已匹配的长度.假设目前在点\(u ...

  8. 3754. 【NOI2014】魔法森林(LCT)

    Problem 给定一个\(n\)个结点,\(m\)条边的的无向图,每条边有两个权值\(ai,bi\). 现在从\(1\)出发,要到达\(n\),每次只能沿着\(ai\le A\)且\(bi\le B ...

  9. Vue-router(基础)_滚动行为和history模式

    一.前言 1.滚动事件 2.h5 history模式 二.主要内容 1.   (1)使用前度路由,当切换到新路由时,想要页面滚动到顶部,或者是保持原先滚动的位置,就像重新加载页面那样.vue-rout ...

  10. Java基础知识拾遗(二)

    Lambda表达式 lambda表达式本质上就是一个匿名方法.但是这个方法不是独立执行的,而是构成了一个函数式接口定义的抽象方法的实现,该函数式接口定义了它的目标类型. 只有在定义了lambda表达式 ...