SpringBoot + HttpSession 自定义生成sessionId

已于 2024-12-26 14:11:45 修改
阅读量686 收藏 5
点赞数 4
文章标签: java 开发语言
于 2024-12-26 11:24:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq5621/article/details/144737815
版权

SpringBoot + HttpSession 自定义生成sessionId

业务场景

最近在做用户登录过程中,由于默认ID是通过UUID创建的,缺乏足够的安全性,决定要自定义生成 sessionId

实现方案

正常的获取session方法如下:

HttpSession session = request.getSession(true);

通过 DEBUG 找到创建 sessionId 的执行方法如下(所在的类名 ManagerBase):
在这里插入图片描述

generateSessionId 方法的具体实现,底层的生成 sessionId 逻辑暂时先不看。

在这里插入图片描述
于是就有一个想法,是不是可以继承这个类,再重写获取 sessionId的方法,最后把实现类注入到容器中,就可以实现。

说干就干,新写一个类继承 ManagerBase抽象类,但是需要我重写 loadunload 方法,我本意是只重写获取 sessionId 方法的,不想搞这么麻烦,还要再换一个方案。

在这里插入图片描述
随后注意到 ManagerBase 已存在的子类 StandardManager 实现了这两个方法,那么问题来了,是否可以直接继承 StandardManager 类呢?答案是可以的。

于是就有了,下面的自定义子类:
在这里插入图片描述
关键的来了,要怎么把 CustomStandardManager 管理类替换掉原来的执行方法呢?还是要研究源码,看下面这段代码:

在这里插入图片描述
管理器是从上下文中获取,那么可以尝试通过上下文对管理器赋值,找了好久终于找到了赋值的方法,如下:

在这里插入图片描述

sessionId的生成方式

服务器端生成sessionid的方式有许多种。下面是其中一种常见的方式:

  • 随机生成:服务器端可以使用随机数生成算法来生成一个唯一的sessionid。这种方法使用的是服务器的随机数生成器,并且通常会结合当前时间戳等其他因素,以增加sessionid的安全性和唯一性。

  • 哈希计算:服务器端可以使用一个哈希函数对一些唯一的信息进行计算,以生成一个sessionid。这些唯一信息可以包括用户的IP地址、浏览器类型、操作系统等等。

  • 使用UUID:UUID(Universally Unique Identifier)是一种标识符,具有全球唯一的特性。服务器可以使用UUID库来生成一个唯一的sessionid。

  • 使用加密算法:服务器端可以使用加密算法对一些唯一信息进行加密,以生成一个唯一的sessionid。这些唯一信息可以包括用户的IP地址、浏览器类型、操作系统等等。常见的加密算法包括MD5、SHA-1、SHA-2等。

  • 自定义生成:服务器端也可以根据自己的需求和特定的业务逻辑,设计一种特定的算法来生成sessionid。这种方法通常结合了一些特定的标识符、唯一信息和加密算法等。

需要注意的是,生成sessionid时要确保生成的sessionid具有足够的安全性和唯一性,以防止被恶意攻击者伪造或篡改。此外,服务器端还要考虑sessionid的存储和管理方式,以便能够有效地识别和验证sessionid的有效性。

SpringBoot+fileUpload获取文件上传进度
08-27
public UploadProgressListener(HttpSession session) { this.session = session; } public void update(long bytesRead, long bytesTotal) { // 更新上传进度 session.setAttribute("uploadProgress", ...
Java根据sessionId获取Session对象
hecongqi的技术博客
10-10 3万+
1. 建立一个自己的SessionContext: 程序代码: package cn.org.jshuwei.session.core; import javax.servlet.http.HttpSession; import java.util.Ha
spring boot之session的创建,销毁,超时,监听等等小结
热门推荐
east123321的博客
01-25 6万+
一、 session简介 1. 服务器可以为每个用户浏览器创建一个会话对象(session对象),一个浏览器只能产生一个session,当新建一个窗口访问服务器时,还是原来的那个sessionsession中默认保存的是当前用户的信息。因此,在需要保存其他用户数据时,我们可以自己给session添加属性。session(会话)可以看为是一种标识,通过带session的请求,可以让服务器知道是谁
Spring Boot登录状态保存大作战:我是选择“httpsession“还是“token“?
最新发布
2301_81186831的博客
02-22 360
当你纠结该用哪种方式时,不妨想象两种场景:选Session就像开连锁咖啡店,总部统一管理所有门店的会员档案选Token就像加盟奶茶店,每家店都有自己的验券机现代Web应用更像是星巴克(无感支付)和瑞幸咖啡(线上下单),无状态设计才是王道。但别忘了,会话管理永远是安全领域的"瑞士军刀"——关键看你要切的是哪块牛排🥩。
都9102年了,还问Session和Cookie的区别
weixin_34085658的博客
01-29 316
1 前言 最近看了一些同学的面经,发现无论什么技术岗位,还是会问到 Session 和 Cookie 的区别。 所有学技术的同学都知道 Session 和 Cookie 函数怎么用,知道 Session 和 Cookie 的区别就是 Session 是储存在服务端的,Cookie 是存储在浏览器的。 但是实际上是什么东西,一些刚学习技术的...
sessionid如何产生?由谁产生?保存在哪里?
AlbenXie的博客
12-12 8135
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成sessionid叫做jsessionidsession在访问tomcat 服务器HttpServletRequest的getSession(true)的时候 创建,tomcat的ManagerBase类提供创建sessionid的方法: 随机数...
SpringBoot 整合 Spring-Session 实现分布式会话(实战篇)
长安明月的博客
07-25 4169
Spring提供了处理分布式会话的解决方案Spring-Session提供了对Redis、MongoDB、MySQL等常用存储的支持,Spring-Session提供与HttpSession的透明整合,这意味着开发人员可以使用Spring-Session支持的实现方式,切换HttpSession至Spring-Session。本文采用Redis作为第三方存储,总结下SpringBoot整合Spring-Session实现分布式会话的实战方式及测试过程。...
SpringBoot解决关于跨域导致sessionId不一致问题
liuzhongyu
09-09 6459
在用谷歌的kaptcha做验证码登录校验遇到了如下问题 用谷歌浏览器(版本85)访问验证码
Springboot实现多服务器session共享
08-26
Springboot实现多服务器session共享 Springboot实现多服务器session共享是指在分布式系统中,每个服务器上的Session可以共享,实现 Session 的同步和共享,从而解决了在分布式环境中Session不一致的问题。下面是...
SpringBoot中实现分布式的Session共享的详细教程
08-19
SpringBoot分布式Session共享详细教程 本文将详细介绍如何在SpringBoot中实现分布式的Session共享,主要涵盖了项目创建、依赖包添加、application.yml文件配置、Session配置类创建、Controller接口方法创建等方面的...
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
通常,这个标识包含一个唯一的Session ID或Token,服务器端根据这个ID或Token来识别用户。在后续的请求中,客户端会自动发送这个Session ID或Cookie,服务器通过这个信息来判断用户是否已经登录。 **一、Cookie进行...
详解SpringBoot2 使用Spring Session集群
08-26
return "Session ID: " + session.getId(); } } ``` 使用 Spring Session 的方式 Spring Session 提供了多种方式来使用,包括: * 扩展指定 server,利用 Servlet 容器提供的插件功能,自定义 HttpSession 的...
spring自定义session分布式session
凌康的博客
03-10 2593
修改tomcat的org.apache.catalina.util.HttpServletRequest包下的生成方法/***/@Override}原理是对请求会话进行包装自定义,能够高度支配会话,自由进行自定义开发。例如spring-session原理也是对请求会话进行包装,所以可以通过自定义进行对session的存储,例如存储到内存、redis、数据库、nosql等等。首选实现HttpSession,并对它进行序列化,其中我添加了自定义id生成/**...
springboot获取sessionid_Spring Boot 整合Redis, 用起来真简单!
weixin_39688170的博客
12-18 2818
点击上方“Java技术前线”,选择“置顶或者星标”与你一起成长~作者:java_老男孩https://blog.51cto.com/14230003/2368721Redis 是目前业界使用最广泛的内存数据存储。相比 Memcached,Redis 支持更丰富的数据结构,例如 hashes, lists, sets 等,同时支持数据持久化。除此之外,Redis 还提供一些类数据库的特性...
springboot自定义cookieHttpSessionIdResolver
qq_41358574的博客
03-14 1329
在上面的代码中,SessionConfig 类定义了一个名为 httpSessionIdResolver 的 Spring Bean,这是我们自定义Session ID 解析器。HttpSessionIdResolver 可以获取该会话 ID,并将其用于各种目的,例如在集群环境中跟踪用户会话,处理会话 ID 上的安全性等。这样一来,通过配置我们的 CustomSessionIdResolver,我们已成功实现了 Spring Boot 中自定义 Session ID 的场景。
session
coco1118的博客
12-07 642
在web开发中,session是个非常重要的概念。Session一般译作会话,Session是一种基于HTTP协议的用以增强web应用能力的机制或者说一种方案,它不是单指某种特定的动态页面技术,而这种能力就是保持状态,也可以称作保持会话。 在许多动态网站的开发者看来,session就是一个变量,而且其表现像个黑洞,他只需要将东西在合适的时机放进这个洞里,等需要的时候再把东西取出来。这是开发者对se...
spring-session自定义cookie中的sessionId名称(基于springboot)
zhu124866的专栏
08-17 2万+
为何要修改sessionId名称 如果多个应用系统,访问使用同一个域名或IP,不同端口时,在同一个浏览器登陆这些系统系统,它们之间会出现用户会话会出现覆盖问题,即登录到其中一个应用系统,其他应用系统出现重新登陆现象; 具体操作 经过分析SpringHttpSessionConfiguration的源码(这里不带大家对源码进行分析了),可归纳出以下两种方式可修改sessionId名称 1、定...
springboot 根据sessionId查询session
佛说"獨" 的博客
09-19 2933
问题:跨域问题,session无法进行同步,可以通过保存sessionsessionId的方式进行校验,向前端传送sessionId,前端可以通过头部传sessionId,通过sessionId获取相关的信息,进行校验等操作 1,创建一个类用于保存session,对session进行添加,删除,查询 /** * 自定义获取指定sessionIdsession */ public class MySessionContext { private static MySessionContext
shiro+springboot自定义sessionId
袖卷笛音的博客
07-03 7453
在shiro中,默认返回的sessionId是uuid或者是random随机的,我们可能需要根据我们的需求进行重写,需要重写sessionId我们只需要写一个类实现SessionIdGenerator中的generateId就行 1.自定义sessionId生成 自定义CustomSessionIdGenerator实现SessionIdGenerator接口,重写generateId(...
springboot+mybatis+springsession+redis实现session共享及单点登录
09-01
使用SpringBoot框架结合MyBatis实现Session共享和单点登录可以借助SpringSession和Redis来实现。 首先,需要配置SpringSession以使用Redis作为存储方式。可以在SpringBoot的配置文件中添加以下配置: ``` spring.session.store-type=redis spring.session.redis.namespace=spring:session spring.redis.host=127.0.0.1 spring.redis.port=6379 ``` 这样配置后,SpringSession会自动将session信息存储到Redis中。 接着,在登录验证成功后,将用户信息存储到Redis中,并将该用户的唯一标识存储到当前Session的属性中,以便后续验证是否登录。例如: ``` @RequestMapping("/login") public String login(@RequestParam("username") String username, @RequestParam("password") String password, HttpSession session) { // 验证用户名和密码 // ... // 验证通过后,将用户信息存储到Redis中,并设置Session属性 redisTemplate.opsForHash().put("user:" + username, "username", username); session.setAttribute("username", username); return "success"; } ``` 在后续的请求中,可以通过拦截器或过滤器来验证Session是否有效。例如: ``` @Component public class SessionInterceptor implements HandlerInterceptor { @Autowired private RedisTemplate<String, Object> redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { HttpSession session = request.getSession(); String username = (String) session.getAttribute("username"); if (StringUtils.isEmpty(username)) { response.sendRedirect("/login"); return false; } String storedUsername = (String) redisTemplate.opsForHash().get("user:" + username, "username"); if (!StringUtils.equals(storedUsername, username)) { response.sendRedirect("/login"); return false; } return true; } } ``` 以上代码片段展示了如何通过拦截器验证Session的有效性。首先从当前Session中获取用户名,如果为空则重定向到登录页面。然后从Redis中获取存储的用户名,如果与当前用户名不匹配,则重定向到登录页面。 这样就实现了SpringBoot、MyBatis、SpringSession和Redis共同完成Session共享和单点登录的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值