Spring Session产生的sessionid与cookies中的sessionid不一样的问题 && httpOnly 设置不起作用

最新推荐文章于 2025-05-08 10:34:09 发布
最新推荐文章于 2025-05-08 10:34:09 发布
阅读量4.5k 收藏 5
点赞数
分类专栏: spring session 文章标签: spring session spring
本文探讨了在Spring Boot 2.0环境下,使用Spring Session和Redis作为会话存储时遇到的问题,即从Cookies中获取的sessionID与通过sessionRepository获取的sessionID不一致。文章详细介绍了问题的原因在于Cookie中的sessionID进行了Base64编码,而默认配置下未进行解码,导致获取的session为null。提供了解决方案,包括自定义CookieSerializer以匹配sessionID编码方式,以及手动解码Cookie中的sessionID。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

摘自 : https://www.cnblogs.com/imyjy/p/9187168.html
背景:
  Springboot 2.0 (spring-session-data-redis + spring-boot-starter-web)
需求:

通过cookies中取到的 sessionid 获取到 session

预期效果:

@Autowired

private SessionRepositry sessionRepositry;

Session session = sessionRespositry.findById(sessionId);

真实结果: 获取到的session是null, 然而通过 request.getSession(); 可以获取到session, 说明 session是存在的.

问题追踪后发现问题:

cookie中的sessionId 与 session.getId() 不一样!!!

DEBUG:
  1. 先看一看SpringSession是如何从Cookie中获取sessionid的! (相关类: org.springframework.session.web.http.DefaultCookieSerializer)
在这里插入图片描述

2. 再看一看 useBase64Encoding 的值是啥, 首先看默认值

在这里插入图片描述

3. 看看这些配置是在哪里被(赋值)确认的, 一路追踪到 org.springframework.session.config.annotation.web.http.SpringHttpSessionConfiguration 配置类中

在这里插入图片描述
 看看 createDefaultCookieSerializer() 是如何实现的

在这里插入图片描述

4. 从上面可以得出结论, 我们无法 通过配置文件 中 server.servlet.session.** 来配置 useBase64Encoding. 使 cookie中的 sessionid 与 session.getId() 保持一致

5. 期间发现的另一个问题: 虽然 sessionCookieConfig 有httpOnly相关配置, 但这里并未将配置设入 cookieSerializer 中, 导致配置文件中的 server.servlet.session.cookie.httpOnly = false 不起作用

解决方案:

第一种方案: 通过配置 自定义的 CookieSerializer 来指定配置信息(如果觉得麻烦请直接看第二种方案), 如下

a) 首先因为 SessionCookieConfig 接口中并没有定义 isUseBase64Encoding() 等接口, 导致缺少了部分配置, 所以我 自定义了一个 MySessionCookieConfig 接口继承了 SessionCookieConfig, 并写了一个默认实现 MyDefaultSessionCookieConfig
 
  MySessionCookieConfig

package com.cardgame.demo.center.config;

import javax.servlet.SessionCookieConfig;

/**
 *
 * 补充 SessionCookie 中未定义的配置项
 * @author yjy
 * 2018-06-15 13:30
 */
public interface MySessionCookieConfig extends SessionCookieConfig {

    String getDomainPattern();

    void setDomainPattern(String domainPattern);

    String getJvmRoute();

    void setJvmRoute(String jvmRoute);

    boolean isUseBase64Encoding();

    void setUseBase64Encoding(boolean useBase64Encoding);

}

MyDefaultSessionCookieConfig

package com.cardgame.demo.center.config;

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

/**
 *
 * 涵盖 CookieSerializer 所有配置项
 * @author yjy
 * 2018-06-15 13:31
 */
@Component
@ConfigurationProperties(prefix = "server.servlet.session.cookie")
public class MyDefaultSessionCookieConfig implements MySessionCookieConfig {

    private String name = "SESSION";
    private String path;
    private String domain;
    private String comment;
    private int maxAge = -1;
    private String domainPattern;
    private String jvmRoute;
    private boolean httpOnly = true;
    private boolean secure = false;
    private boolean useBase64Encoding = false;

    @Override
    public String getDomainPattern() {
        return domainPattern;
    }

    @Override
    public void setDomainPattern(String domainPattern) {
        this.domainPattern = domainPattern;
    }

    @Override
    public String getJvmRoute() {
        return jvmRoute;
    }

    @Override
    public void setJvmRoute(String jvmRoute) {
        this.jvmRoute = jvmRoute;
    }

    @Override
    public boolean isUseBase64Encoding() {
        return useBase64Encoding;
    }

    @Override
    public void setUseBase64Encoding(boolean useBase64Encoding) {
        this.useBase64Encoding = useBase64Encoding;
    }

    @Override
    public String getName() {
        return name;
    }

    @Override
    public void setName(String name) {
        this.name = name;
    }

    @Override
    public String getPath() {
        return path;
    }

    @Override
    public void setPath(String path) {
        this.path = path;
    }

    @Override
    public String getDomain() {
        return domain;
    }

    @Override
    public void setDomain(String domain) {
        this.domain = domain;
    }

    @Override
    public String getComment() {
        return comment;
    }

    @Override
    public void setComment(String comment) {
        this.comment = comment;
    }

    @Override
    public boolean isHttpOnly() {
        return httpOnly;
    }

    @Override
    public void setHttpOnly(boolean httpOnly) {
        this.httpOnly = httpOnly;
    }

    @Override
    public boolean isSecure() {
        return secure;
    }

    @Override
    public void setSecure(boolean secure) {
        this.secure = secure;
    }

    @Override
    public int getMaxAge() {
        return maxAge;
    }

    @Override
    public void setMaxAge(int maxAge) {
        this.maxAge = maxAge;
    }
}

b) 利用 MyDefaultSessionCookieConfig 携带的配置, 自定义 CookieSerializer Bean

package com.cardgame.demo.center.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;
import org.springframework.session.security.web.authentication.SpringSessionRememberMeServices;
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;
import org.springframework.util.ClassUtils;
import org.springframework.util.ObjectUtils;

import javax.servlet.ServletContext;
import javax.servlet.SessionCookieConfig;

/**
 *
 * @author yjy
 * 2018-06-08 14:53
 */
@Slf4j
@Configuration
@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 3600, redisNamespace = "center")
public class RedisSessionConfig implements ApplicationContextAware {

    @Bean
    public CookieSerializer cookieSerializer(ServletContext servletContext, MySessionCookieConfig sessionCookieConfig) {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        if (servletContext != null) {
            if (sessionCookieConfig != null) {
                if (sessionCookieConfig.getName() != null)
                    cookieSerializer.setCookieName(sessionCookieConfig.getName());
                if (sessionCookieConfig.getDomain() != null)
                    cookieSerializer.setDomainName(sessionCookieConfig.getDomain());
                if (sessionCookieConfig.getPath() != null)
                    cookieSerializer.setCookiePath(sessionCookieConfig.getPath());
                if (sessionCookieConfig.getMaxAge() != -1)
                    cookieSerializer.setCookieMaxAge(sessionCookieConfig.getMaxAge());
                if (sessionCookieConfig.getDomainPattern() != null)
                    cookieSerializer.setDomainNamePattern(sessionCookieConfig.getDomainPattern());
                if (sessionCookieConfig.getJvmRoute() != null)
                    cookieSerializer.setJvmRoute(sessionCookieConfig.getJvmRoute());
                cookieSerializer.setUseSecureCookie(sessionCookieConfig.isSecure());
                cookieSerializer.setUseBase64Encoding(sessionCookieConfig.isUseBase64Encoding());
                cookieSerializer.setUseHttpOnlyCookie(sessionCookieConfig.isHttpOnly());
            }
        }
        if (ClassUtils.isPresent(
                "org.springframework.security.web.authentication.RememberMeServices",
                null)) {
            boolean usesSpringSessionRememberMeServices = !ObjectUtils
                    .isEmpty(this.context
                            .getBeanNamesForType(SpringSessionRememberMeServices.class));
            if (usesSpringSessionRememberMeServices) {
                cookieSerializer.setRememberMeRequestAttribute(
                        SpringSessionRememberMeServices.REMEMBER_ME_LOGIN_ATTR);
            }
        }
        return cookieSerializer;
    }

    private ApplicationContext context;

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.context = applicationContext;
    }
}

c) 修改配置文件配置

在这里插入图片描述

d) 配置完成后重新启动, 再看 SpringHttpSessionConfiguration 加载的时候, 拿到了我们自定义的 CookieSerializer, 我想要的配置都有了!! 打开浏览器测试通过!!
在这里插入图片描述
在这里插入图片描述

第二种方案: 拿到 Cookie 中的 sessionId 后, 手动解码, 再 通过 sessionRespositry.findById(sessionId); 获取session

a) 解码的方案 从 DefaultSerializer 类中 copy 一个 , 如下:

/**
 * Decode the value using Base64.
 * @param base64Value the Base64 String to decode
 * @return the Base64 decoded value
 * @since 1.2.2
 */
private String base64Decode(String base64Value) {
    try {
        byte[] decodedCookieBytes = Base64.getDecoder().decode(base64Value);
        return new String(decodedCookieBytes);
    }
    catch (Exception e) {
        return null;
    }
}

b) 获取步骤:

String cookieSessionId = “XXX”;

String sessionId = base64Decode(cookieSessionId);

Session session = sessionRespositry.findById(sessionId);

c) 搞定! (此方案未解决 httpOnly 不起效的问题, 如果要解决 httpOnly = false , 请看方案一)

Spring Boot入门教程(五十六): Spring Session
人不风流枉少年
04-11 1万+
一:Web容器Session HTTP是无状态协议,服务器端要想记住客户端的状态需要通过Session和Cookie来完成。 Session是由Web服务器端(Tomcat)维护,Cookie是由客户端(浏览器)维护,浏览器每次请求都会自动携带Cookie信息,当服务器端首次往session中存储值时(session.setAttribute(name, value)),服务器端(Tomcat)会...
Springboot 前端请求的每次sessionid不同
默默不代表沉默
10-14 7668
1. 先检测浏览器是否有设置禁止保存第三方cookie信息 2.跨域问题处理 后端代码: 添加跨域配置(参考我这篇):https://blog.youkuaiyun.com/qq_35387940/article/details/106123805 一般出现跨域问题,就是因为前后端分离导致的。 前端代码: vue: axios.defaults.withCredentials = true; ...
SpringMVC】详解cookie,session及实战
最新发布
2301_81073317的博客
05-08 1463
哈喽大家好吖,今天继续来给大家来分享SpringMVC的学习,今天主要带来的是cookiesession的讲解以及通过postman和fiddler来实战,废话多说让我们开始吧。
Spring session 浏览器sessionId服务器一致解决方案
a275870703的博客
04-15 4271
项目情况: spring boot 和spring session 版本都是2.0.2.RELEASE 问题描述: 请求项目接口后浏览器保存的sessionId服务器一致,拿Postman测试如下图,网上找了很久都没发现有人发过这个问题,只能自己去找了spring session的深入分析一系列文章以及阅读源码,最后结合到今天找到的一个帖子,过他里面处...
SpringSession系列-sessionId解析和Cookie读写策略
weixin_33979745的博客
12-22 1026
首先需求在这里说明下,SpringSession的版本迭代的过程中肯定会伴随着一些类的移除和一些类的加入,目前本系列使用的版本是github上对象的master的代码流版本。如果有同学对其他版本中的一些类或者处理有疑惑,欢迎交流。 本篇将来介绍下SpringSession中两种sessionId解析的策略,这个在之前的文章中其实是有提到过的,这里再拿出来和SpringSession中Cooki...
spring 通过sessionId设置session
quxxx2009的专栏
02-18 2006
import javax.annotation.Resource; import javax.servlet.http.HttpSession; import org.springframework.session.ExpiringSession; import org.springframework.session.SessionRepository; import org.springfra...
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
Spring Boot应用中,登录验证通常涉及到Cookie和Session两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用Cookie和Session进行登录后的拦截处理。 首先,简单介绍...
CookieSession 实现登录操作
oageux的博客
07-25 2164
使用Cookie Session实现登录操作
关于跨域访问Zuul和gateway,Session一致的问题
weixin_42475281的博客
01-14 1401
问题描述 之前运行良好的项目,使用Zuul作为网关负责请求的转发负载均衡,这段时间修改了项目突然发现支持session跨域了,sensitive-headers:也设置了,withCredentials: true也加了,但是每次请求sessionId一致,很苦恼,两天之后发现问题, Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute 原因 新版的Chrome
第三章 Session共享&单点登陆笔记
hankin的博客
11-29 913
一、传统Session机制及身份认证方案 1、Cookie服务器的交互 如上图,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也会自动维护客户的上下文信息。比如我们现在要实现一个电商内的购物车功能,要怎么才能知道哪些购物车请求对应的是来自同一个客户的请求呢?session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端...
自己实现的spring-session
06-04
自己实现spring-session,实现单点登陆的功能 使用filter拦截用户的请求,在filter中包装request,在request的包装类requestWrapper中,重写getSession(), 和getSession(boolean create)。自己实现httpSession,在getSession中获取cookie,从cookie中读取sessionId, 如果没有sessionId就新创建session,如果有sessionId,就去redis中查看是否有此id的记录,如果没有就新建session,如果有,还是新建session,并把redis中此session的相关数据赋值给新建的session,最后保存sessionId到cookie,cookie的maxAge设置为-1,仅对当前会话有效。 redis的操作使用redisTemplate实现。
SpringSession header/cookie/attribute 存放 SessionID(死磕)
架构师尼恩
12-13 2695
SpringSession header/cookie/attribute存放 SessionID(死磕) 疯狂创客圈 Java 高并发【 亿级流量聊天室实战】实战系列 【博客园总入口 】 架构师成长+面试必备之 高并发基础书籍 【Netty Zookeeper Redis 高并发实战 】 疯狂创客圈 高并发 环境 视频,陆续上线: Windows Redis 安装(带视频) Li...
springboot ajax 跨域请求导致sessionId 一致 解决办法
qq_42317294的博客
03-08 3075
首先处理跨域问题 springboot 有处理跨域的注解@CrossOrigin 这样已经可以处理跨域请求,但session共享 注解修改如下: @CrossOrigin(allowCredentials="true",allowedHeaders="*") 同时前端js ajax部分加入: xhrFields:{ ...
spring boot 跨域问题sessionid一致 已解决)
qq_28433521的博客
04-20 2423
现象:Spring boot验证码接口登录接口的sessionid一致 解决方法: WebConfig中添加如下代码: @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOri...
SpringSession的源码解析(从Cookie中读取Sessionid,根据sessionid查询信息全流程分析)
qq_44597856的博客
04-30 2290
SpringSession的源码解析(从Cookie中读取Sessionid,根据sessionid查询信息全流程分析)
springsession使用redis共享session时,sessionid一致的问题
weixin_42996398的博客
03-07 6579
网上能找到很多帖子说怎么实现redis来共享session,照着做完,发现两个独立应用配置到同一个redis后,获取的session id一样。 怎么回事,他们写的是很简单,怎么我这每次都一样呢。 找了半天,原来springsession 使用cookie传递session id,每个cookie的path一致。 springsession默认使用DefaultCookieSerializ...
spring session的简单实用,以及session使用中的几个小的问题sessionId
weixin_43554759的博客
06-16 834
spring-session的简单实用; 使用中的简单例子 使用中的问题,以及需要注意的几个点。
cas登入url有sessionid
12-27
### CAS 登录 URL 中包含 SessionID 的处理方法 当涉及到 CAS (Central Authentication Service) 实现单点登录时,URL 中携带 `JSESSIONID` 可能会引发一系列安全性和功能性问题。具体来说,在某些配置环境下,CAS 客户端可能会尝试通过 URL 参数传递 session ID 给服务端[^5]。 #### 解决方案概述 为了防止这种情况发生并提高系统的安全性,可以采取以下措施: 1. **修改 Tomcat 设置** 对于运行在 Tomcat 上的应用程序而言,可以通过调整其配置文件来控制 Cookie 行为。编辑 `$CATALINA_BASE/conf/context.xml` 文件,设置 `<Context>` 元素属性如下所示: ```xml <Context cookies="true" useHttpOnly="true"> <!-- Other configurations --> </Context> ``` 2. **禁用 URL 重写** 确保应用程序会因为缺少支持 Cookies 浏览器而启用 URL 重写功能。这通常意味着要确保所有的客户端都正确设置了接受 Cookies 的能力,并且服务器端也相应地进行了适当配置以利用这一点。 3. **增强安全性** - 使用 HTTPS 来加密传输数据,从而减少中间人攻击的风险。 - 启用 HttpOnly 标志位,使得 JavaScript 无法访问这些敏感信息。 - 设定适当的 Secure 属性,指示浏览器仅应在 SSL/TLS 连接上发送此 cookie。 4. **代码层面优化** 如果仍然遇到问题,则可以在应用层面上做进一步改进。例如,在 Spring Security 或其他框架中自定义过滤器链,拦截任何试图将 session id 添加到 URL 的操作,并将其转换回基于 cookie 的管理方式。 ```java import javax.servlet.Filter; import org.springframework.security.web.session.SessionManagementFilter; @Bean public Filter springSecurityFilterChain() throws Exception { // ... other filters ... SessionManagementFilter smf = new SessionManagementFilter(securityContextRepository); smf.setAlwaysRespectSessionCreationPolicy(true); http.addFilter(smf).build(); } ``` 上述做法有助于确保即使是在不同域之间跳转的情况下也能维持一致的安全策略。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值