HttpSession线程不安全的问题

最新推荐文章于 2023-12-18 22:03:53 发布
最新推荐文章于 2023-12-18 22:03:53 发布
阅读量596 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Javamine/article/details/100174539
在PC管理端接口请求中,采用Token进行身份验证,每10分钟更新一次Token并保留旧Token3分钟有效。但在高并发场景下,前端可能在短时间内使用已更新但后端尚未同步的Token,导致验证失败。解决办法是将Token存储于Redis中,以避免session的同步延迟问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题现象:PC管理端的接口请求,进行了Token的拦截验证,Token更新的机制为10分钟更新一次,并保留旧Token3分钟有效,Token保存在session中。这时会引起一个问题,当触发更新的动作时,刚好有多个并发请求上来,带的都是同一个Token,此时后端存的Token是需要更新的,因为更新Token的逻辑加了锁,即只有第一个线程有资格触发创建新的Token,并同步更新session中的Token,其它线程不会触发,恰恰是因为存到了session中,当第一个线程触发更新机制后,并将Token响应给前端,而在极短的时间差内,前端拿到了这个新newToken后再次发起了请求,而后端session存在的Token竟然还是旧的Token,导致验证失败。

 

解决方法:将Token存到Redis中。

Session的线程安全问题及有效性问题
山不转的博客
02-01 2803
1、线程安全问题 Session接口的相关实现由Tomcat容器提供,本身保证线程安全。但Session中保存的对象,其线程安全当然要由开发者保证。线程安全问题隐蔽、偶发,出了问题好定位修正,一定要注意线程安全问题。通常,通过如下代码创建或者取得Session引用: HttpSession session = request.getSession(true);                ...
(未完)7-Servlet线程安全问题
qq_39474604的博客
08-25 337
一、ServletContext、HttpSession线程安全的;ServletRequest是非线程安全的 参考:https://www.cnblogs.com/digdeep/p/4429098.html 1、保存在ServletContext、HttpSession中的对象必须是线程安全的; 在Java web项目中,我们经常要将一个登陆的用户保存在HttpSession中,而这个...
http协议使用session安全
在路上
08-26 350
当别人截获你的sessionid后,就可以通过禁用Cookie并重写URL传入sessionid的方式操作一切当前session用户被授权的操作,当然截获这个sessionid是有一定难度的,过互联网安全也是相对的,如果涉及安全性较高的模块尽量选用https协议!        ...
hibernate4,session安全,线程安全问题
yeliner的博客
03-26 608
在之前做的一个项目中,我使用hibernate4来进行对数据库数据的操作,结果发现与hibernate3的一些功能兼容,比如使用hibernateSupport就很容易引发一系列的问题,在网上也查了很久,确实有解决的方法,比如应该添加数据管理,以及线程管理,但是有可能牵一发而动全身,最后还有可能并没有解决,陆陆续续有新的问题出现,于是,我这个比较懒,有比较笨的的人,就选择了万变离其宗,追本溯源...
在Hibernate中创建安全Session
csd5ii1n的专栏
06-06 475
         Hibernate的基本特征是完成面向对象的程序设计语言到关系数据库的映射,在Hibernate中使用持久化对象PO(Persistent Object)完成持久化操作,对PO的操作必须在Session管理下才能同步到数据库,但是这里的Session并非指HttpSession,可以理解为基于JDBC的Connnection,Session是Hibernate运作的中心,对象的生
session线程问题
07-16 1267
Session实现了Reader/Writer的锁机制:   当页面对Session具有可写功能(即页面有标记),此时直到请求完成该页面的Session持有一个写锁定。   当页面对Session具有只读功能(即页面有标记),此时知道请求完成该页面的Session持有一个读锁定。   读锁定将阻塞一个写锁定;读锁定会阻塞读锁定;写锁定将阻塞所有的读写锁定。这就是为什么ajax1
SessionFactory和Session的线程安全的讨论
清水雨潭
07-16 6955
<br />Session session = SessionFactory.getSession();<br />这一步加final的意思是session这个引用对象只能指向SessionFactort.getSession()传回的这个对象,之后其指向的对象地址能再次改变,加final是可以再次赋值(即再次改变其指向)的。而加加final,session所指向的这个对象的内在属性是完全可以改变的,甚至可以模拟两个线程,同时调用其方法,改变这个对象的设置。所以加final与线程安全与否几乎没有关系。
@Autowired注入的Httprequest如何保证线程安全
flybone7的博客
11-27 767
@Autowired注入的Httprequest如何保证线程安全
Servlet与线程安全
zhaohong_bo的专栏
05-04 698
Servlet与线程安全 先说结论,Servlet本身是单例的,线程安全的。但是如果引入共享变量,则可能会变得线程安全。 1. 什么是线程安全 首先说明一下对线程安全的讨论,哪种情况我们可以称作线程安全? 《Java并发编程实战》给出的定义: 当多个线程访问某个类时,管运行时环境采用何种调度方式,或者这些线程将如何交替执行,并且在主调代码中需要任何额外的同步或协同,这个类都能表现出正确的...
HttpSession线程安全问题及注意事项
jgfyyfd的博客
11-14 1930
HttpSession线程安全问题及注意事项
被我们忽略的HttpSession线程安全问题
omygodvv的博客
12-18 1307
所以结论是:如果你能保证会对”从HttpSession中获得的对象“调用set方法来修改它,那么保存在HttpSession中的对象可以线程安全的(因为他是”事实可变对象“,并且ConcurrentHashMap保证了它是被”安全发布的“);然的话,就存在并发问题。下面分析一下为什么将一个这样的Java对象保存在HttpSession中是有问题的,至少在线程安全方面严谨的,可能会出现并发问题。虽然getAttribute,setAttribute是线程安全的了,那么下面的代码就是线程安全的吗?
Spring+Mybatis项目:人员管理系统
Java小白的自学之路
11-19 325
课程介绍: 开发环境配置: 项目结构: 配置和注解: 数据库设计: 建表语句: drop database if exists sm; create database sm; use sm; create table department( id int primary key auto_increment, name varchar(20) n...
三种Http Session解决方案的优缺点
大白专栏
12-23 1671
如何保持用户的session? 客户端 cookie 服务器内存中的 session 网站的database Cookie Session的限制l       浏览器的限制Cookie的大小4K,部分服务商只支持2K,而且一次最多提交20个明码存放在客户的浏览器上 l       安全问题cookie欺骗cook
【填坑日记7】HTTP之session
热门推荐
新兴IT民工的专栏
06-05 1万+
文章目录前言HTTP中的sessionsession如何保持cookiessession(token)vue的session-storageVUE中的两个问题vue.usevue对象与组件 前言 前面几篇文章填完坑之后,基本上我要做的基本流程是通的了,可以登录,可以传文件,可以显示识别结果。 然后接下来,是是每次都要登录呢?没有登录肯定能访问后面的URL地址,要主动跳转到登录页。 那么,这些东西的实现就要用到session这个概念了。 HTTP中的session session如何保持 cookies
万恶的session,同一sessionid能并发,session锁
zb219的专栏
01-30 3707
只要网站使用了session,那么每次请求就会在整个生命周期中,锁住session,这样同一sessionid的请求就必须等待解锁 这就表示,如果网站有个超时的页面,那就什么事也干了了,必须等这个超时的页面加载完成。 你同样干了,同一页面多个ajax并发请求,干了,消息轮询请求。 asp.net 有 [SessionState(SessionStateBehavior.ReadOnl
你必须了解的Session的本质
jnucross的专栏
12-04 1727
转载于:http://www.360weboy.com/php/session-cookie/session_essence.html 有一点我们必须承认,大多数web应用程序都离开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识,从而理解该协议的无状态特性。然后,学习一些关于cookie的基本操作。最
session是否是线程安全
最新发布
06-04
在 Tomcat 中实现的 `HttpSession` 同样保证线程安全性[^4]。当多个请求(可能来自同的线程)共享同一个 `HttpSession` 时,开发者需要自行确保对会话属性的操作是同步的。例如,在更新会话中的某个属性值时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值