spring-web项目采用token认证session创建过多导致OOM

最新推荐文章于 2025-04-24 22:46:34 发布
原创 最新推荐文章于 2025-04-24 22:46:34 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #前端 #java

本文介绍关于session过多,分问题、解决方案、分析在另写文章。

问题:spring-boot微服务互相调用时,采用的是spring-security来认证,比如A服务调用B服务用feign调用方式。

1. 浏览器访问web项目,传递token,Bearer 0d8c2dfa-5a3f-4fde-935e-96da27712687,此时,web服务会拿着token,去用户服务认证,认证通过,放行。每次访问都会在web服务创建一个新的session,有效期是30分钟,即使前端下次访问的时候,传递上次响应的session,web服务也会创建一个新的,这样在短时间内有大量请求时,就会创建大量的session,并且不会回收,就造成OOM。

下载dump文件,用jprofiler分析如图

可以看到session的数量非常多。

解决方案:

在配置http的时候采用固定的session策略:

http.sessionManagement().sessionFixation().none();

完整代码



import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

import javax.servlet.http.HttpServletResponse;


@Configuration
@EnableResourceServer
@ConditionalOnProperty(prefix = "spring.security.oauth2", name = "enabled", havingValue = "true", matchIfMissing = true)
public class OAuth2ResourceServer extends ResourceServerConfigurerAdapter {

    @Value("${spring.application.name}")
    private String resourceId;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(resourceId);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .exceptionHandling()
            .authenticationEntryPoint((request, response, authException) -> response
                .sendError(HttpServletResponse.SC_UNAUTHORIZED))
            .and()
            .authorizeRequests()
            // 填写不需要token即可调用的接口的路径
            .antMatchers(
                "/v2/api-docs",
                "/favicon.ico",
                "/webjars/**",
                "/csrf",
                "/swagger**",
                "/swagger-resources/**",
                "/course/coursebase/**",
                "/hystrix**",
                "/hystrix/**",
                "/proxy.stream",
                "/actuator/**",
                "/actuator",
                "/cache",
                "/webservices/**")
            .permitAll()
            .anyRequest()
            .authenticated()
            .and()
            //这里配置也可以,下面单独配置也行
            .sessionManagement()
            .sessionFixation()
            .none()
            .and()
            
            .httpBasic();
        //.maximumSessions(30)   最大的session数量
// 采用固定session
//        http.sessionManagement().sessionFixation().none();
//采用合并session,每次都会创建新的,并且把原来session的属性复制到新的里面,原来的session过期,也会创建大量的session
//        http.sessionManagement().sessionFixation().migrateSession();

    }

}

分析在下一篇文章,介绍session管理过滤器,如何创建。

服务之间调用,也会产生大量的session,B服务采用request域,不创建session。



import java.util.Map;
import javax.annotation.Resource;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Scope;
import org.springframework.context.annotation.ScopedProxyMode;
import org.springframework.security.oauth2.client.DefaultOAuth2ClientContext;
import org.springframework.security.oauth2.client.OAuth2ClientContext;
import org.springframework.security.oauth2.client.filter.OAuth2ClientContextFilter;
import org.springframework.security.oauth2.client.token.AccessTokenRequest;
import org.springframework.security.oauth2.client.token.DefaultAccessTokenRequest;

@Configuration
@ConditionalOnProperty(
    name = {"my.scope.request"},
    havingValue = "true"
)
public class LeadingOAuth2ClientConfiguration {
    public LeadingOAuth2ClientConfiguration() {
    }

    @Bean
    public OAuth2ClientContextFilter oauth2ClientContextFilter() {
        OAuth2ClientContextFilter filter = new OAuth2ClientContextFilter();
        return filter;
    }

    @Bean
    @Scope(
        value = "request",
        proxyMode = ScopedProxyMode.INTERFACES
    )
    protected AccessTokenRequest accessTokenRequest(@Value("#{request.parameterMap}") Map<String, String[]> parameters, @Value("#{request.getAttribute('currentUri')}") String currentUri) {
        DefaultAccessTokenRequest request = new DefaultAccessTokenRequest(parameters);
        request.setCurrentUri(currentUri);
        return request;
    }

    @Configuration
    @ConditionalOnProperty(
        name = {"my.scope.request"},
        havingValue = "true"
    )
    protected static class OAuth2ClientContextConfiguration {
        @Resource
        @Qualifier("accessTokenRequest")
        private AccessTokenRequest accessTokenRequest;

        protected OAuth2ClientContextConfiguration() {
        }

        @Bean
        @Scope(
            value = "request",
            proxyMode = ScopedProxyMode.INTERFACES
        )
        public OAuth2ClientContext oauth2ClientContext() {
            return new DefaultOAuth2ClientContext(this.accessTokenRequest);
        }
    }
}

在yml中配置 my.scope.request=true 

session在服务之间共享,服务调用传递session,也可以。

参考文章

这篇session回话写的不错

SpringSecurity(九): 自定义Session 会话超时处理逻辑 - 西门夜说 - 博客园

关于feign调用时,session丢失的解决方案 - 程序员大本营

Spring,无法在Java配置中更改SessionAuthenticationStrategy-Java 学习之路

SpringBoot开发——整合 JWT 轻松实现跨站点统一登录
bjzhang75的博客
09-03 1209
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。但是,假如应用服务器的请求量变得很大,而单台服务器能支撑的请求量是有限的,这个时候就容易出现请求变慢或者OOM。中获取用户的基本信息,既然客户端可以获取,肯定是不能存放敏感信息的,因为浏览器可以直接从token获取用户信息。
SpringBoot整合LangChain4J
最新发布
weixin_62307424的博客
05-20 2363
本文围绕LangChain4J展开,介绍其使用阿里百炼大模型的前置准备,包括开通服务、获取API - KEY等。还介绍了快速开始步骤,如导入依赖、编写代码。在SpringBoot整合方面,给出依赖、自动配置和使用示例。对于流式调用,说明了配置和实现方法。此外,讲解了模型记忆的实现,包括记忆过程、实现记忆、记忆隔离和自定义记忆载体。最后介绍工具使用,从快速开始到再次优化,以及提示词参数的设置方法。
记一次系统因spring-sessionSpring-redisson引起cpu波动问题
swimming_lu的博客
08-22 1062
spring-session与redisson的巧妙碰撞
性能测试重现Session引发的OOM
performance_test的博客
08-27 1556
通过性能测试手段重现应用卡死,从而解决Session使用不当引发的OOM
Spring Boot 一个依赖搞定 session 共享,没有比这更简单的方案了!
weixin_33998125的博客
06-04 2358
有的人可能会觉得题目有点夸张,其实不夸张,题目没有使用任何修辞手法!认真读完本文,你就知道松哥说的是对的了! 在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,...
spring session cpu占用过高
小虫子编程课
07-22 847
  集成spring session很简单,只需几行代码即可。 @Configuration @EnableRedisHttpSession public class SessionConfig { @Value("${redis.host}") private String host; @Value("${redis.port}") private Integer port; @Va...
SpringBoot解决多服务session共享问题
cly125521的博客
09-16 863
Springboot 提供了自动化 session 共享配置,它结合 redis 非常方便的解决了这个问题。 除了Redis依赖之外,这里还需要提供spring-session-data-redis依赖,Spring Session可以做到透明的替换掉应用中的Session容器。 ...
Vue与SpringCloud前后端分离项目实战经验
在安全控制方面,项目采用Spring Security或Shiro进行权限认证,并结合JWT(JSON Web Token)实现无状态登录机制。用户登录成功后,后端签发包含用户信息的Token返回给前端,后续请求均需携带该Token,由网关层...
基于SpringCloud的实验室在线排课系统源码
安全方面,系统采用JWT(JSON Web Token)实现无状态的身份验证机制。用户登录成功后,服务器生成一个包含用户ID、角色权限、过期时间等信息的加密Token并返回给客户端,后续请求均携带此Token进行鉴权。相比传统...
【技术派后端篇】技术派中 Session/Cookie 与 JWT 身份验证技术的应用及实现解析
04-24 1408
在现代Web应用开发中,身份验证是保障系统安全的重要环节。技术派在身份验证领域采用了多种技术方案,其中Session/Cookie和JWT(JSON Web Token)是两种常用的实现方式。本文将详细介绍这两种身份验证技术在技术派中的应用及具体实现。
spring session 管理
chengjianfei9579的博客
08-22 216
通过Spring Session实现新一代的Session管理 http://www.infoq.com/cn/articles/Next-Generation-Session-Management-with-Spring-Session 期以来,session管理就是企业级J...
如果Session数据过多,可能会导致什么问题?
长风破浪会有时的博客
04-01 502
就像我们会定期清理和整理玩具一样,我们也应该定期清理过期的Session数据,并确保服务器有足够的存储空间来处理当前的数据需求。:想象一下,如果你有一个巨大的玩具箱,里面塞满了各种各样的玩具,当你想要找某个特定的玩具时,是不是会很难找?同样地,当Session数据太多时,服务器在查找某个特定的数据时也会变得很慢,这可能会导致网页加载速度变慢。:如果房间里堆满了玩具,就没有空间再放新的玩具了,对吧?同样的,当Session数据很多时,服务器也需要花费更多的资源来管理这些数据,这可能会影响到服务器的整体性能。
shiro 使用redis 频繁请求获取session的问题
zsg88的专栏
07-07 9939
shiro 框架获取 session里面的属性时,每次都去拿取session,一次请求中会有很多次 获取 session 里面的属性,所以有很多次,这个如果是本地缓存到无所谓,因为本地缓存是直接放置session对象的,但是如果是共享缓存比如 redis ,这个就郁闷了,每次获取session都要从redis 里面获取然后反序列化。操作session属性导致频繁访问redis这个大概是没办法避免了
springboot基础(70):多节点登录session共享
不积跬步,无以至千里
09-25 1351
通常我们的session保存在服务器内存中,那么当我们部署多台服务器时,如何实现session共享?
session存放数据过大导致频繁GC影响服务器性能以及高并发问题解决
maybe的博客
03-22 6148
刚过完年,就一直比较忙,一直也没空更新。先是客户要求紧急上线,足足加了一个礼拜的班,紧赶慢赶做了一套订票系统出来。妈的。。。需求还没给,就提了上线申请。简直日了狗。(吐槽。。。。还一个傻逼业务,跟着客户一块烦我。)然后问题随之而来。哎,果然紧急上线的东西问题频出。直接记录问题吧。1,开发购票时,因为任务紧急,简单设计,直接把从EPM查出来的航班全部信息(EPM返回数据很庞大,并且控制权不在我们手里...
Shiro 性能优化:解决 Session 频繁读写问题
lizhengyu891231的博客
01-26 999
叙述 Shiro 提供了强大的 Session 管理功能,基于 Shiro 实现 Session 共享非常方便,只需要定制一个我们自己的SessionDAO,并将它绑定给 SessionManager 即可。在我们的 SessionDAO 中,通常会将 Session 保存到 Redis,那么 Shiro 对 Session 的增删改查,都会直接操作 Redis。 但是由于 Shiro 对 Session 的访问非常频繁,用户的一次请求,可能就会触发几十次的 Session 访问操作,在 Sessio
高并发访问时如何确保服务器端session过多而造成内存溢出致使服务器宕机的方法之一
zhangjinpeng66的专栏
08-28 6056
用户登录后所在登录页面中设置一个隐藏的iframe标签。该子页面会每隔10s中向报告一次在线消息。代码如下:        …… div class="response">        iframe src="response.html">iframe>     div>        ……        response.html代码实现如下:     DOC
springboot+vue前后端分离多次请求sessionid不同的解决方法
weixin_53281846的博客
05-02 2876
耗时两天最终找到的springboot+vue前后端分离多次请求sessionid不同的解决方法,希望能有所帮助
springsecurity+vue解决跨域以及session问题
m0_63040701的博客
03-18 1479
最近在写一个前后端分离项目,后端我采用的是java作为服务端,前端我用vue3进行的开发,主要是想写一套后台管理系统,后端采用springsecurity进行权限控制访问后端我当时是用postman进行测试开发的,再此并无任何问题。但是,当我把vue3前端的内容写的差不多进行前后端交互时,问题产生了!!!!首先,就是跨域问题,用axios向后端发送请求时一直显示跨域!!!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值