http请求中没有set-cookie,却产生了jsessionid;tomcat产生两个sessionid,一个是自定义的sessionid(customSessionId),一个是默认的jsess

原创 已于 2022-11-10 13:43:08 修改 · 1.9w 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #session #redis

于 2017-12-19 20:01:16 首次发布
本文探讨了使用Spring Session和Redis实现场景下出现的双重SessionID问题:自定义的customSessionId与默认的jsessionid并存。文章深入分析了产生这一现象的原因,包括sourcemap文件的影响和404页面未明确禁用Session导致的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

项目使用了spring session,并用redis存储,以实现分布式环境下session同步;查看dev tools—>network时发现,有两个sessionid,一个是spring session中指定的customSessionId,一个是tomcat默认的jsessionid,
这里写图片描述

<!--spring-applicationcontext.xml中指定的customSessionId-->
<bean id="defaultCookieSerializer"
          class="org.springframework.session.web.http.DefaultCookieSerializer">
        <property name="cookieName" value="customSessionId" />
        <property name="cookiePath" value="/" />
</bean>

这里我就产生了疑问?明明指定了sessionId为什么还会有默认的jsessionid?既然spring统一管理了session就不会再有新session了呀?!并且在check network中请求后,却发现没有任何请求产生jsessionid,但是application中的的确确产生了jsessionid!

问题

截止到现在产生了两个问题,

  • http请求中没有set-cookie,却产生了jsessionid
  • tomcat产生两个sessionid,一个是自定义的sessionid(customSessionId),一个是默认的jsessionid;

探索

意想不到的source map

为了查清楚第一个问题,使用了排除大法,使用折半删除,最终定位到jquery-migrate-1.1.1.min.js这个文件,如果不引用此文件则没有jsessionid,为了排除js创建jsessionid的可能,搜索文件内容并未发现jsessionid或cookie的代码,这时想到chrome的请求与fiddler的请求不一样让fiddler抓包也许能看到不一样的东西,
这里写图片描述
果然不一样,凭空多了jquery-migrate.min.map请求且产生了jsessionid,几经搜索,得知这是source map,相当于min.js文件对应的源代码,chrome dev tools默认会下载此文件,至此我们明白了,因为是chrome浏览器本身发送的,所以在network中看不见而fiddler却能抓出来。
当然,我们可以关闭下载source map,

dev tools---->settings--->sources--->enable javascript source maps 去掉勾选

jsp中的session

我们注意到min.map请求响应代码是404,并且产生了jsessionid,没有办法只能跟踪java源代码,追踪到StandardHostValve,执行完invoke方法后,就会产生setCookie,可以排除filter产生jsessionId的可能,再看404.jsp,发现没有指定session=“false”,所以会创建session,在invoke方法这一步等于执行了request.getSession(),因为这时的request已经是原始的request,未经spring包装的request肯定会产生原始的jsessionid,所以有两个sessionid,通过在404.jsp中指定session="false"就不会再从产生jsessionid;
这里写图片描述

原理

再回过头来说一下这个事情的原理,
spring session的原理是通过filter,暂且就叫它SpringSessionFilter吧,document要求它必须放在最前边,这样就能保证它会比其他filter先执行,它将tomcat的request、reponse,封装为spring的request、response,从而后边的filter/controller…获取到的request、response都是spring的request、response,这样在controller中request.getSession()肯定是spring制定的springSessionId。

public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain)
            throws IOException, ServletException;

但是StandardHostValve在springsessionfilter的前边执行(看上图的线程栈),所以它获取到的request、response仍然是原始的,所以此时request.getSession()获取到的就是原始的jsessionid。

引出来的段子

由于无法debug tomcat源码,所以standardhostvalve具体功能无从推断,这个还引出tomcat打源代码包的段子

后记

通过这个问题,在跟踪源码阶段,基本了解了spring session原理以及shiro的session原理,filter、filter chain、proxiedfilterchain,跟源码受益无穷呀。

参考

JavaScript Source Map 详解
集成Shiro后当遇到404错误时会丢失session

个人公众号

在这里插入图片描述

TomcatSession ID保持会话
十七拾的博客
03-18 1331
本文详细阐释tomcat服务器如何实现session ID保持会话,希望对你有帮助!
一个服务器搭多个tomcat导致session丢失,或者同一个IP不同端口,多个应用的session会冲突解决方法
11-14
IP相同的两个session对应的cookie是一样的,而不幸的是sessionID就保存在cookie中,这样先访问A,再访问B的时候,B的sessionid会覆盖A的sessionid。这个事情没办法解决,所以你不要搞两个端口,最好是搞两个IP。原来...
session cookie 会话 Set-Cookie设置详解
最新发布
爱的叹息的专栏
05-06 832
session cookie 会话 Set-Cookie设置详解
tomcatsessionId的处理分析
weixin_33713707的博客
07-29 322
tomcat 7对sessionId的处理: 首先解析request请求中的sessionID: 从AjpProcessor.java的process(SocketWrapper<Socket> socket)调用CoyoteAdapter.process里面有的postParseRequest(org.apache.coyote.Request req,Reques...
Tomcat实现Session ID的持久化保存实现
insertyou
10-21 228
一般的,如果一个用户打开一个浏览器,服务器就会分配一个sessionid,通过session.getId()函数可以返回session的id; 但是如果一旦关闭服务器后,再重启服务器,刷新页面,则服务器会重新分配一个新的sessionid; 如果我们想要保留原有的id,则可以通过序列化方式保存sessionid。 在conf/server.xml中,在Context即web项目中加入 &l...
jsessionid 问题分析
我的空间,好好学习
12-05 554
jsessionid 问题分析 Posted on 2011-09-02 16:33 疯狂 阅读(1547) 评论(2) 编辑 收藏 这几天为了测试人员测试,就把一个tomcat应用整个拷贝了一份,改了下端口一个8080,一个8081,上下文也一样,结果出问题了:页面登陆验证码死活验证不过去,最后跟...
tomcat修改jsessionidcookie中的名称
04-14
### Tomcat中修改JSessionIDCookie中的名称 在Tomcat服务器中,默认情况下,用于传递会话标识(即JSessionID)的Cookie名称为“JSESSIONID”。有时,出于安全考虑或其他需求,我们可能需要自定义这个名称。本文将...
Tomcat7+Redis+Session 负载之后session 共享 tomcat jar包
04-11
标题 "Tomcat7+Redis+Session 负载之后session 共享 tomcat jar包" 涉及的是在使用Nginx做负载均衡时,如何通过集成Redis来实现Tomcat7服务器之间的Session共享,从而确保用户在不同服务器之间切换时仍然能够保持...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
Tomcat配置自定义jsessionid Cookie名称
在Java Web应用中,Tomcat服务器使用jsessionid作为默认Session ID,它会被存储在一个名为JSESSIONIDCookie中。这个Cookie用于跟踪用户会话,当用户在应用中浏览不同页面时保持其登录状态。然而,有时出于安全...
Custom Session-State Module
weixin_34034670的博客
01-08 229
SessionStateModule类 为一个应用程序提供session-state服务.这个类不能继承. [AspNetHostingPermissionAttribute(SecurityAction.LinkDemand, Level = AspNetHostingPermissionLevel.Minimal)] public sealed class Sessi...
HTTP协议,jsessionid
autoinspired的专栏
06-11 2521
 HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。 服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。 我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信
为什么会有jsessionid,这个东东有什么用呢?
xiaomin1991222的专栏
11-17 814
为什么会有jsessionid,这个东东有什么用呢? 作者: CHAN | 发布: 2014 年 3 月 5 日 1.是不是只要一打开一个页面就会产生一个jsessionid? 2.在不关闭浏览器的情况下,什么时候jsessionid会改变?我登陆后,登陆然后退出,jsessionid会有什么变化? 3.sessionjsessionid有什么关系? 谢谢! 所谓session可...
jsessionid的困扰
sunxboy的专栏
07-21 2397
问题:向某银行发送支付请求时,如果客户端cookie开启,第一次请求时,请求地址会自动增加一jsessionid,第二次没有问题。如果客户端cookie关闭,无论如何请求地址会自动添加一jsessionid,从而导致支付页面不能显示。------------------------- 查了网上的一些解决办法,找到原因,如下: &lt; 在你的程序第一次访问服务器的时候,服务端并不知道你的客户端浏览...
HttpServletRequest 获取 JSESSIONID
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
03-19 468
在Java Web开发中,可以通过以下几种方式从。根据实际需求选择合适的方法,通常优先使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值