spring-web项目采用token认证session创建过多导致OOM

最新推荐文章于 2025-02-21 17:56:09 发布
原创 最新推荐文章于 2025-02-21 17:56:09 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #前端 #java

本文介绍关于session过多,分问题、解决方案、分析在另写文章。

问题:spring-boot微服务互相调用时,采用的是spring-security来认证,比如A服务调用B服务用feign调用方式。

1. 浏览器访问web项目,传递token,Bearer 0d8c2dfa-5a3f-4fde-935e-96da27712687,此时,web服务会拿着token,去用户服务认证,认证通过,放行。每次访问都会在web服务创建一个新的session,有效期是30分钟,即使前端下次访问的时候,传递上次响应的session,web服务也会创建一个新的,这样在短时间内有大量请求时,就会创建大量的session,并且不会回收,就造成OOM。

下载dump文件,用jprofiler分析如图

可以看到session的数量非常多。

解决方案:

在配置http的时候采用固定的session策略:

http.sessionManagement().sessionFixation().none();

完整代码



import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

import javax.servlet.http.HttpServletResponse;


@Configuration
@EnableResourceServer
@ConditionalOnProperty(prefix = "spring.security.oauth2", name = "enabled", havingValue = "true", matchIfMissing = true)
public class OAuth2ResourceServer extends ResourceServerConfigurerAdapter {

    @Value("${spring.application.name}")
    private String resourceId;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(resourceId);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .exceptionHandling()
            .authenticationEntryPoint((request, response, authException) -> response
                .sendError(HttpServletResponse.SC_UNAUTHORIZED))
            .and()
            .authorizeRequests()
            // 填写不需要token即可调用的接口的路径
            .antMatchers(
                "/v2/api-docs",
                "/favicon.ico",
                "/webjars/**",
                "/csrf",
                "/swagger**",
                "/swagger-resources/**",
                "/course/coursebase/**",
                "/hystrix**",
                "/hystrix/**",
                "/proxy.stream",
                "/actuator/**",
                "/actuator",
                "/cache",
                "/webservices/**")
            .permitAll()
            .anyRequest()
            .authenticated()
            .and()
            //这里配置也可以,下面单独配置也行
            .sessionManagement()
            .sessionFixation()
            .none()
            .and()
            
            .httpBasic();
        //.maximumSessions(30)   最大的session数量
// 采用固定session
//        http.sessionManagement().sessionFixation().none();
//采用合并session,每次都会创建新的,并且把原来session的属性复制到新的里面,原来的session过期,也会创建大量的session
//        http.sessionManagement().sessionFixation().migrateSession();

    }

}

分析在下一篇文章,介绍session管理过滤器,如何创建。

服务之间调用,也会产生大量的session,B服务采用request域,不创建session。



import java.util.Map;
import javax.annotation.Resource;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Scope;
import org.springframework.context.annotation.ScopedProxyMode;
import org.springframework.security.oauth2.client.DefaultOAuth2ClientContext;
import org.springframework.security.oauth2.client.OAuth2ClientContext;
import org.springframework.security.oauth2.client.filter.OAuth2ClientContextFilter;
import org.springframework.security.oauth2.client.token.AccessTokenRequest;
import org.springframework.security.oauth2.client.token.DefaultAccessTokenRequest;

@Configuration
@ConditionalOnProperty(
    name = {"my.scope.request"},
    havingValue = "true"
)
public class LeadingOAuth2ClientConfiguration {
    public LeadingOAuth2ClientConfiguration() {
    }

    @Bean
    public OAuth2ClientContextFilter oauth2ClientContextFilter() {
        OAuth2ClientContextFilter filter = new OAuth2ClientContextFilter();
        return filter;
    }

    @Bean
    @Scope(
        value = "request",
        proxyMode = ScopedProxyMode.INTERFACES
    )
    protected AccessTokenRequest accessTokenRequest(@Value("#{request.parameterMap}") Map<String, String[]> parameters, @Value("#{request.getAttribute('currentUri')}") String currentUri) {
        DefaultAccessTokenRequest request = new DefaultAccessTokenRequest(parameters);
        request.setCurrentUri(currentUri);
        return request;
    }

    @Configuration
    @ConditionalOnProperty(
        name = {"my.scope.request"},
        havingValue = "true"
    )
    protected static class OAuth2ClientContextConfiguration {
        @Resource
        @Qualifier("accessTokenRequest")
        private AccessTokenRequest accessTokenRequest;

        protected OAuth2ClientContextConfiguration() {
        }

        @Bean
        @Scope(
            value = "request",
            proxyMode = ScopedProxyMode.INTERFACES
        )
        public OAuth2ClientContext oauth2ClientContext() {
            return new DefaultOAuth2ClientContext(this.accessTokenRequest);
        }
    }
}

在yml中配置 my.scope.request=true 

session在服务之间共享,服务调用传递session,也可以。

参考文章

这篇session回话写的不错

SpringSecurity(九): 自定义Session 会话超时处理逻辑 - 西门夜说 - 博客园

关于feign调用时,session丢失的解决方案 - 程序员大本营

Spring,无法在Java配置中更改SessionAuthenticationStrategy-Java 学习之路

记一次系统因spring-sessionSpring-redisson引起cpu波动问题
swimming_lu的博客
08-22 1005
spring-session与redisson的巧妙碰撞
性能测试重现Session引发的OOM
performance_test的博客
08-27 1542
通过性能测试手段重现应用卡死,从而解决Session使用不当引发的OOM
Spring Boot 一个依赖搞定 session 共享,没有比这更简单的方案了!
weixin_33998125的博客
06-04 2328
有的人可能会觉得题目有点夸张,其实不夸张,题目没有使用任何修辞手法!认真读完本文,你就知道松哥说的是对的了! 在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,...
spring session cpu占用过高
小虫子编程课
07-22 803
  集成spring session很简单,只需几行代码即可。 @Configuration @EnableRedisHttpSession public class SessionConfig { @Value("${redis.host}") private String host; @Value("${redis.port}") private Integer port; @Va...
SpringBoot解决多服务session共享问题
cly125521的博客
09-16 828
Springboot 提供了自动化 session 共享配置,它结合 redis 非常方便的解决了这个问题。 除了Redis依赖之外,这里还需要提供spring-session-data-redis依赖,Spring Session可以做到透明的替换掉应用中的Session容器。 ...
SpringBoot开发——整合 JWT 轻松实现跨站点统一登录
bjzhang75的博客
09-03 1062
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。但是,假如应用服务器的请求量变得很大,而单台服务器能支撑的请求量是有限的,这个时候就容易出现请求变慢或者OOM。中获取用户的基本信息,既然客户端可以获取,肯定是不能存放敏感信息的,因为浏览器可以直接从token获取用户信息。
Spring面试题2
winks3的博客
02-21 371
IOC其实就是控制反转,依赖注入(DI)是SpringIOC的一种实现方式IOC(Inversion of Control):IOC指将对象的创建和管理权交给Spring容器(如)统一控制。传统开发中,对象通过new主动创建依赖,而IoC模式下,容器负责对象的生命周期和依赖关系DI(Dependency Injection):是IoC的具体实现方式,指容器在运行时动态将依赖对象注入到目标组件中依赖注入的两种实现方式。
docker GitLab-runner CI/CD持续集成
奋斗的小鸟专栏
07-22 3189
docker安装GitLab-runnerdocker安装GitLab-runner拉取镜像创建挂载目录启动容器注册gitlab-runner修改Runner配置文件创建SpringBoot项目测试CICD项目结构配置docker注册runner修改config.toml挂载目录修改项目pom.xml,引入docker插件在项目根目录创建Dockerfile文件提交代码到gitlab查看打包结果安装错误ERROR: Failed to load config stat /etc/gitlab-runner/
Java面试题
chaogewudi34的博客
08-06 670
Java面试题-Redis、MySQL、Spring、分布式、多线程、锁等
数据库之Redis运维手册(私人整理)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-20 7339
1、redis配置文件 #cat 8000.conf daemonize no #[yes/no]默认值no,该参数用于定制redis服务是否以守护模式运行。 pidfile /var/run/redis.pid #默认值/var/run/redis.pid,指定redis服务的进程号文件路径,以守护模式运行时需要配置本参数; port 8000 #默认值6379,指定redis服务...
spring session 管理
chengjianfei9579的博客
08-22 170
通过Spring Session实现新一代的Session管理 http://www.infoq.com/cn/articles/Next-Generation-Session-Management-with-Spring-Session 期以来,session管理就是企业级J...
如果Session数据过多,可能会导致什么问题?
长风破浪会有时的博客
04-01 450
就像我们会定期清理和整理玩具一样,我们也应该定期清理过期的Session数据,并确保服务器有足够的存储空间来处理当前的数据需求。:想象一下,如果你有一个巨大的玩具箱,里面塞满了各种各样的玩具,当你想要找某个特定的玩具时,是不是会很难找?同样地,当Session数据太多时,服务器在查找某个特定的数据时也会变得很慢,这可能会导致网页加载速度变慢。:如果房间里堆满了玩具,就没有空间再放新的玩具了,对吧?同样的,当Session数据很多时,服务器也需要花费更多的资源来管理这些数据,这可能会影响到服务器的整体性能。
shiro 使用redis 频繁请求获取session的问题
zsg88的专栏
07-07 9888
shiro 框架获取 session里面的属性时,每次都去拿取session,一次请求中会有很多次 获取 session 里面的属性,所以有很多次,这个如果是本地缓存到无所谓,因为本地缓存是直接放置session对象的,但是如果是共享缓存比如 redis ,这个就郁闷了,每次获取session都要从redis 里面获取然后反序列化。操作session属性导致频繁访问redis这个大概是没办法避免了
springboot基础(70):多节点登录session共享
不积跬步,无以至千里
09-25 1281
通常我们的session保存在服务器内存中,那么当我们部署多台服务器时,如何实现session共享?
session存放数据过大导致频繁GC影响服务器性能以及高并发问题解决
maybe的博客
03-22 6109
刚过完年,就一直比较忙,一直也没空更新。先是客户要求紧急上线,足足加了一个礼拜的班,紧赶慢赶做了一套订票系统出来。妈的。。。需求还没给,就提了上线申请。简直日了狗。(吐槽。。。。还一个傻逼业务,跟着客户一块烦我。)然后问题随之而来。哎,果然紧急上线的东西问题频出。直接记录问题吧。1,开发购票时,因为任务紧急,简单设计,直接把从EPM查出来的航班全部信息(EPM返回数据很庞大,并且控制权不在我们手里...
Shiro 性能优化:解决 Session 频繁读写问题
lizhengyu891231的博客
01-26 942
叙述 Shiro 提供了强大的 Session 管理功能,基于 Shiro 实现 Session 共享非常方便,只需要定制一个我们自己的SessionDAO,并将它绑定给 SessionManager 即可。在我们的 SessionDAO 中,通常会将 Session 保存到 Redis,那么 Shiro 对 Session 的增删改查,都会直接操作 Redis。 但是由于 Shiro 对 Session 的访问非常频繁,用户的一次请求,可能就会触发几十次的 Session 访问操作,在 Sessio
高并发访问时如何确保服务器端session过多而造成内存溢出致使服务器宕机的方法之一
zhangjinpeng66的专栏
08-28 6025
用户登录后所在登录页面中设置一个隐藏的iframe标签。该子页面会每隔10s中向报告一次在线消息。代码如下:        …… div class="response">        iframe src="response.html">iframe>     div>        ……        response.html代码实现如下:     DOC
springboot+vue前后端分离多次请求sessionid不同的解决方法
weixin_53281846的博客
05-02 2773
耗时两天最终找到的springboot+vue前后端分离多次请求sessionid不同的解决方法,希望能有所帮助
springsecurity+vue解决跨域以及session问题
m0_63040701的博客
03-18 1455
最近在写一个前后端分离项目,后端我采用的是java作为服务端,前端我用vue3进行的开发,主要是想写一套后台管理系统,后端采用springsecurity进行权限控制访问后端我当时是用postman进行测试开发的,再此并无任何问题。但是,当我把vue3前端的内容写的差不多进行前后端交互时,问题产生了!!!!首先,就是跨域问题,用axios向后端发送请求时一直显示跨域!!!!
spring-boot-starter-oauth-client token自动刷新
最新发布
02-22
### 使用 `spring-boot-starter-oauth2-client` 实现 Token 自动刷新 为了在 Spring Boot 应用中使用 `spring-boot-starter-oauth2-client` 来实现 OAuth2.0 token 的自动刷新,需确保应用程序能够处理访问令牌过期的情况并请求新的访问令牌。以下是具体的方法: #### 1. 添加依赖项 首先,在项目的 `pom.xml` 文件中添加必要的 Maven 依赖项以支持 OAuth2 客户端功能。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 此操作允许开发者利用内置的支持来进行 OAuth2 流程管理[^2]。 #### 2. 配置 application.properties 或者 application.yml 接着配置文件中的属性来指定授权服务器的信息以及所需的范围(scope),这有助于框架理解何时何地去获取新 tokens。 对于 `application.properties`: ```properties spring.security.oauth2.client.registration.myclient.client-id=your_client_id spring.security.oauth2.client.registration.myclient.client-secret=your_secret_key spring.security.oauth2.client.registration.myclient.authorization-grant-type=authorization_code spring.security.oauth2.client.registration.myclient.scope=read,write spring.security.oauth2.client.provider.myprovider.token-uri=https://example.com/oauth/token ``` 如果采用 YAML 格式,则相应的配置如下所示: ```yaml spring: security: oauth2: client: registration: myclient: client-id: your_client_id client-secret: your_secret_key authorization-grant-type: authorization_code scope: read, write provider: myprovider: token-uri: https://example.com/oauth/token ``` 这些设置定义了客户端 ID、密钥以及其他必要参数以便于与外部身份验证服务交互[^1]。 #### 3. 创建自定义 Token Services 类 (可选) 当默认的行为不满足需求时,可以通过继承 `DefaultTokenServices` 并重写其部分方法来自定义行为,比如调整 refresh access token 的逻辑[^3]。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.DefaultTokenServices; @Configuration public class CustomTokenConfig { @Bean public DefaultTokenServices customTokenService() { DefaultTokenServices service = new DefaultTokenServices(); // 进行相应定制化修改... return service; } } ``` #### 4. 启用自动刷新机制 Spring Security OAuth 提供了一个叫做 `ReactiveOAuth2AuthorizedClientManager` 接口用于管理和维护已授权客户的会话状态。通过这个接口可以很容易地集成到 WebFlux 或 MVC 控制器里,并且它内部已经包含了对 token 刷新的支持。 要启用自动刷新特性,只需按照上述方式正确设置了所有必需的属性即可;一旦检测到当前使用的 access_token 即将到期,系统将会尝试使用 refresh_token 获取一个新的有效凭证[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值