Spring Session产生的sessionid与cookies中的sessionid不一样的问题 httpOnly 设置不起作用

本文主要是介绍Spring Session产生的sessionid与cookies中的sessionid不一样的问题 httpOnly 设置不起作用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

摘自 : https://www.cnblogs.com/imyjy/p/9187168.html
背景:
  Springboot 2.0 (spring-session-data-redis + spring-boot-starter-web)
需求:

通过cookies中取到的 sessionid 获取到 session

预期效果:

@Autowired

private SessionRepositry sessionRepositry;

Session session = sessionRespositry.findById(sessionId);

真实结果: 获取到的session是null, 然而通过 request.getSession(); 可以获取到session, 说明 session是存在的.

问题追踪后发现问题:

cookie中的sessionId 与 session.getId() 不一样!!!

DEBUG:
  1. 先看一看SpringSession是如何从Cookie中获取sessionid的! (相关类: org.springframework.session.web.http.DefaultCookieSerializer)
在这里插入图片描述

2. 再看一看 useBase64Encoding 的值是啥, 首先看默认值

在这里插入图片描述

3. 看看这些配置是在哪里被(赋值)确认的, 一路追踪到 org.springframework.session.config.annotation.web.http.SpringHttpSessionConfiguration 配置类中

在这里插入图片描述
 看看 createDefaultCookieSerializer() 是如何实现的

在这里插入图片描述

4. 从上面可以得出结论, 我们无法 通过配置文件 中 server.servlet.session.** 来配置 useBase64Encoding. 使 cookie中的 sessionid 与 session.getId() 保持一致

5. 期间发现的另一个问题: 虽然 sessionCookieConfig 有httpOnly相关配置, 但这里并未将配置设入 cookieSerializer 中, 导致配置文件中的 server.servlet.session.cookie.httpOnly = false 不起作用

解决方案:

第一种方案: 通过配置 自定义的 CookieSerializer 来指定配置信息(如果觉得麻烦请直接看第二种方案), 如下

a) 首先因为 SessionCookieConfig 接口中并没有定义 isUseBase64Encoding() 等接口, 导致缺少了部分配置, 所以我 自定义了一个 MySessionCookieConfig 接口继承了 SessionCookieConfig, 并写了一个默认实现 MyDefaultSessionCookieConfig
 
  MySessionCookieConfig

package com.cardgame.demo.center.config;import javax.servlet.SessionCookieConfig;/**** 补充 SessionCookie 中未定义的配置项* @author yjy* 2018-06-15 13:30*/
public interface MySessionCookieConfig extends SessionCookieConfig {String getDomainPattern();void setDomainPattern(String domainPattern);String getJvmRoute();void setJvmRoute(String jvmRoute);boolean isUseBase64Encoding();void setUseBase64Encoding(boolean useBase64Encoding);}

MyDefaultSessionCookieConfig

package com.cardgame.demo.center.config;import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;/**** 涵盖 CookieSerializer 所有配置项* @author yjy* 2018-06-15 13:31*/
@Component
@ConfigurationProperties(prefix = "server.servlet.session.cookie")
public class MyDefaultSessionCookieConfig implements MySessionCookieConfig {private String name = "SESSION";private String path;private String domain;private String comment;private int maxAge = -1;private String domainPattern;private String jvmRoute;private boolean httpOnly = true;private boolean secure = false;private boolean useBase64Encoding = false;@Overridepublic String getDomainPattern() {return domainPattern;}@Overridepublic void setDomainPattern(String domainPattern) {this.domainPattern = domainPattern;}@Overridepublic String getJvmRoute() {return jvmRoute;}@Overridepublic void setJvmRoute(String jvmRoute) {this.jvmRoute = jvmRoute;}@Overridepublic boolean isUseBase64Encoding() {return useBase64Encoding;}@Overridepublic void setUseBase64Encoding(boolean useBase64Encoding) {this.useBase64Encoding = useBase64Encoding;}@Overridepublic String getName() {return name;}@Overridepublic void setName(String name) {this.name = name;}@Overridepublic String getPath() {return path;}@Overridepublic void setPath(String path) {this.path = path;}@Overridepublic String getDomain() {return domain;}@Overridepublic void setDomain(String domain) {this.domain = domain;}@Overridepublic String getComment() {return comment;}@Overridepublic void setComment(String comment) {this.comment = comment;}@Overridepublic boolean isHttpOnly() {return httpOnly;}@Overridepublic void setHttpOnly(boolean httpOnly) {this.httpOnly = httpOnly;}@Overridepublic boolean isSecure() {return secure;}@Overridepublic void setSecure(boolean secure) {this.secure = secure;}@Overridepublic int getMaxAge() {return maxAge;}@Overridepublic void setMaxAge(int maxAge) {this.maxAge = maxAge;}
}

b) 利用 MyDefaultSessionCookieConfig 携带的配置, 自定义 CookieSerializer Bean

package com.cardgame.demo.center.config;import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;
import org.springframework.session.security.web.authentication.SpringSessionRememberMeServices;
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;
import org.springframework.util.ClassUtils;
import org.springframework.util.ObjectUtils;import javax.servlet.ServletContext;
import javax.servlet.SessionCookieConfig;/**** @author yjy* 2018-06-08 14:53*/
@Slf4j
@Configuration
@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 3600, redisNamespace = "center")
public class RedisSessionConfig implements ApplicationContextAware {@Beanpublic CookieSerializer cookieSerializer(ServletContext servletContext, MySessionCookieConfig sessionCookieConfig) {DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();if (servletContext != null) {if (sessionCookieConfig != null) {if (sessionCookieConfig.getName() != null)cookieSerializer.setCookieName(sessionCookieConfig.getName());if (sessionCookieConfig.getDomain() != null)cookieSerializer.setDomainName(sessionCookieConfig.getDomain());if (sessionCookieConfig.getPath() != null)cookieSerializer.setCookiePath(sessionCookieConfig.getPath());if (sessionCookieConfig.getMaxAge() != -1)cookieSerializer.setCookieMaxAge(sessionCookieConfig.getMaxAge());if (sessionCookieConfig.getDomainPattern() != null)cookieSerializer.setDomainNamePattern(sessionCookieConfig.getDomainPattern());if (sessionCookieConfig.getJvmRoute() != null)cookieSerializer.setJvmRoute(sessionCookieConfig.getJvmRoute());cookieSerializer.setUseSecureCookie(sessionCookieConfig.isSecure());cookieSerializer.setUseBase64Encoding(sessionCookieConfig.isUseBase64Encoding());cookieSerializer.setUseHttpOnlyCookie(sessionCookieConfig.isHttpOnly());}}if (ClassUtils.isPresent("org.springframework.security.web.authentication.RememberMeServices",null)) {boolean usesSpringSessionRememberMeServices = !ObjectUtils.isEmpty(this.context.getBeanNamesForType(SpringSessionRememberMeServices.class));if (usesSpringSessionRememberMeServices) {cookieSerializer.setRememberMeRequestAttribute(SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);}}return cookieSerializer;}private ApplicationContext context;@Overridepublic void setApplicationContext(ApplicationContext applicationContext) throws BeansException {this.context = applicationContext;}
}

c) 修改配置文件配置

在这里插入图片描述

d) 配置完成后重新启动, 再看 SpringHttpSessionConfiguration 加载的时候, 拿到了我们自定义的 CookieSerializer, 我想要的配置都有了!! 打开浏览器测试通过!!
在这里插入图片描述
在这里插入图片描述

第二种方案: 拿到 Cookie 中的 sessionId 后, 手动解码, 再 通过 sessionRespositry.findById(sessionId); 获取session

a) 解码的方案 从 DefaultSerializer 类中 copy 一个 , 如下:

/*** Decode the value using Base64.* @param base64Value the Base64 String to decode* @return the Base64 decoded value* @since 1.2.2*/
private String base64Decode(String base64Value) {try {byte[] decodedCookieBytes = Base64.getDecoder().decode(base64Value);return new String(decodedCookieBytes);}catch (Exception e) {return null;}
}

b) 获取步骤:

String cookieSessionId = “XXX”;

String sessionId = base64Decode(cookieSessionId);

Session session = sessionRespositry.findById(sessionId);

c) 搞定! (此方案未解决 httpOnly 不起效的问题, 如果要解决 httpOnly = false , 请看方案一)

这篇关于Spring Session产生的sessionid与cookies中的sessionid不一样的问题 httpOnly 设置不起作用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/818426

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

好题——hdu2522(小数问题:求1/n的第一个循环节)

好喜欢这题,第一次做小数问题,一开始真心没思路,然后参考了网上的一些资料。 知识点***********************************无限不循环小数即无理数,不能写作两整数之比*****************************(一开始没想到,小学没学好) 此题1/n肯定是一个有限循环小数,了解这些后就能做此题了。 按照除法的机制,用一个函数表示出来就可以了,代码如下

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu