支付宝PC端单笔支付同步回调session失效问题

一次调用支付宝PC场景下单笔支付之后同步回调遇到的session失效问题记录

问题描述：

　　调用支付宝接口：alipay.trade.page.pay，该接口请求参数中有两个返回地址需要设置，return_url是同步返回地址，用于支付成功后页面的跳转，notify_url是异步通知地址，用于支付宝服务器主动通知商户服务器里指定的页面。问题出在同步返回的时候，因为业务需要返回的地址需要用户的登陆信息，项目中的用的session会话管理，但是调用支付宝支付接口支付成功后返回该同步页面时，却被拦截器拦截，跳到登陆页面，需要输入用户的登陆信息，这种情况是不能忍的。。。⊙o⊙

问题分析：

1.考虑到这种情况，首先想到的就是session失效，可是session为什么会失效呢？

　　首先，session是服务器端为了保存状态而创建的一个特殊的对象。浏览器访问服务器时，服务器创建一个特殊对象session(该对象有一个唯一的id，称为sessionId，服务器会将sessionId以cookie形式发给浏览器，当浏览器再次访问服务器时，会将sessionId发送过来，服务器端可以利用这个sessionId找到相应的session对象)。

　　到此处判断是支付宝同步返回return_url的时候没有将sessionId发给浏览器，那我就把sessionId发给服务器，采用的解决办法是url重写，将sessionId拼接到return_url后面，格式为？SESSION=sessionId，尝试结果失败　　>"<||||

　　为什么会失败呢，代表用这种方式服务器依然无法获得sessionId，服务器如何获取sessionId的呢？后台用的服务器是Tomcat，它在处理http请求时会解析请求消息头，从中获取sessionId，然后获取session对象，这也许是如上方法尝试失败的原因吧。

　　如上不可行后，又试想能不能继续用这种方式，我在要返回的页面把这个传过来的sessionId给当作请求参数获取，然后通过sessionId获取session，觉得这个想法似乎不错，很快就发现有阻力了（°ο°）Servlet2.1之后不支持SessionContext里面getSession(String id)方法。。。但是可以通过HttpSessionListener监听器和全局静态map自己实现一个SessionContext，到这里开始觉得自己的思路不对，我获取这个session之后呢。。。

　　接着怎么办呢，请求消息头是没办法改了，如何让请求消息头中带上cookie呢？在思考无效之后请教了身边大神，大神告诉我，你的return_url是用的花生壳的映射地址，类似http://a0167495a2.imtodk.net:11236/buy这种格式的url，而调支付接口之前的访问url都是http://localhost.8080/buy这种格式的url，所以导致session失效，真是一语惊醒梦中人啊，将域名端口改成一样之后，果然解决了。

　　分析为什么会这样呢，这是个cookie路径问题，浏览器在访问服务器上的某个地址时，会比较cookie的路径与改路径是否匹配，只有匹配的cookie才会发送给服务器，上面那两个路径怎么看都匹配不上，所以请求消息头中当然没有sessionId了，服务器也就获取不到session了。

ps：其实这个问题很傻，可是也废了两天时间，重要的是思考的过程，记录一下。