ApiController使用Session验证出现Null解决方案

解决Session丢失问题
最新推荐文章于 2025-07-01 22:39:29 发布
转载 最新推荐文章于 2025-07-01 22:39:29 发布 · 101 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zsy/p/5219333.html

本文介绍了一个在服务端保存登录信息时遇到的问题,即HttpContext.Current.Session为null的情况,并提供了解决方案,即在Global.asax中开启Session功能。

问题描述

在服务端保存登录信息,出现异常信息

image

分析发现HttpContext.Current.Session为null

解决方案

执行时出报异常,要在Global.asax里添加:开启Session功能

image

转载于:https://www.cnblogs.com/zsy/p/5219333.html

Spring Boot 监控 API 请求耗时解决方案
wjianwei666的专栏
07-11 129
本文介绍SpringBoot中6种记录API请求耗时的方案:1)手动StopWatch(代码侵入性强);2)AOP切面(非侵入但增加复杂度);3)拦截器(Controller层统一监控);4)Filter(全局请求监控,粒度较粗);5)事件监听(监听Servlet事件,仅全局耗时);6)Micrometer+Prometheus(方法级监控,需集成组件)。另有Arthas和SkyWalking两种无侵入的分布式监控工具。根据场景需求,推荐AOP或Micrometer用于单应用,SkyWalking适
SpringMVC中的跨域请求配置解决方案
AI天才研究院
08-05 1870
跨域(Cross-origin resource sharing)是由一个资源从一个域名访问另一个不同的域名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同域向当前域发送HTTP请求。跨域请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止跨域请求,所以开发者需要在实际项目中做一些额外的设置来允许跨域请求。以下就详细介绍一下Spring MVC对跨域请求的支持及其配置方法。
Net MVC中的ApiController Session 如何使用
qq_34586545的博客
07-18 2010
Net MVC中的ApiController Session 如何使用 在PipeLine中添加如下代码,开启web session功能。 public override void Init() { this.PostAuthenticateRequest += (sender, e) => HttpContext.Current.SetSessio...
webapisessionnull解决方案
dazhexuan0219的博客
11-29 502
Session webapisessionnull解决方案 在Global.asax里添加:开启Session功能(默认是不开启) 重写init方法 public class WebApiApplication : System.Web.HttpApplication { public override void Init() {...
.net中WebApi跨域Sessionnull的问题
GreyCastle的博客
12-04 1406
前言: 这几天用webapi做后台的数据接口,session一直为null,之前跳过这个坑,今天这方面的业务的时候忘了咋解决的了,自己又弄了好久才解决。今天写个博客记录一下。 问题描述: 由于Net中的webapi是默认不开启的,我们想要使用session必须配置session(别忘了解决跨域的问题,webapi中跨域也是要自己解决的) 解决办法: 如果是前后台分离的话必须进行配置跨域:...
VUE 调用 .net api sessionnull 的问题!!!(后端实现生成验证码)
network_liuxu的博客
10-18 414
VUE 调用 .net api sessionnull 的问题!!!(后端实现生成验证码)
干掉Session?这个跨域认证解决方案真的优雅
m0_67394230的博客
03-06 191
用户登录认证是 Web 应用中非常常见的一个业务,一般的流程是这样的: 客户端向服务器端发送用户名和密码 服务器端验证通过后,在当前会话(session)中保存相关数据,比如说登录时间、登录 IP 等。 服务器端向客户端返回一个 session_id,客户端将其保存在 Cookie 中。 客户端再向服务器端发起请求时,将 session_id 传回给服务器端。 服务器端拿到 session_id 后,对用户的身份进行鉴定。 单机情况下,这种模式是没有任何问题的,但对于前后端分离的 Web 应用来说,就非
故障排查指南:Ingress常见问题与解决方案大全
AI天才研究院
07-01 1060
Ingress资源定义与生命周期管理Ingress Controller工作原理与配置调优流量路由异常、TLS证书问题、负载均衡失效等典型故障诊断基于注解(Annotation)的高级功能调试性能瓶颈分析与优化策略核心概念:解析Ingress架构、关键对象及与Service/Pod的关系排查方法论:建立分层诊断模型,从资源定义到数据平面逐层分析典型故障场景:覆盖配置、路由、安全、性能四大类问题实战工具链:推荐高效排查工具及日志分析方法最佳实践:总结通用解决方案与预防策略。
Spring Session持久化解决方案:跨服务状态管理的革命性策略
[Spring Session持久化解决方案:跨服务状态管理的革命性策略](https://mynextchapterinc.org/wp-content/uploads/2024/02/1-1-1024x576.png) # 摘要 随着分布式系统和微服务架构的普及,有效的Session管理变得尤为...
ApiController 实体类输入参数得到的全是null,返回的json中带有k__BackingField
weixin_44533905的博客
03-21 265
ApiController 实体类输入参数得到的全是null,返回的json中带有k__BackingField
HttpContext.Current.Sessionnull的问题
lucky926474的专栏
09-04 5754
在网上看了很多,最后还是自己找到了答案!!! 通过post请求将用户信息提交到处理页面(*.ashx),然后通过处理页面调用类库中某个类下的登录方法 之前当调用登录方法时做了判断:if (HttpContext.Current.Session != null) 这个时候Ses
(asp.net session总为null得到解决)了解IHttpModule接口事件执行顺便 获取Session 和SQL...
weixin_30588907的博客
02-15 210
了解IHttpModule接口事件执行顺便 获取SessionSQL注入了~为了临时先解决这个问题,使攻击者不再危害数据库。初步决定先采用IHttpModule过滤一道请求。public class HttpModule:IHttpModule{ public HttpModule() { //...
前后端分离中的sessionnull的问题最全解决方法
热门推荐
zuodingquan666的博客
07-13 1万+
今天上午将一个数据存在一个方法中,再调用另外一个接口取出session中的值时,后端直接给我输出了一个空值:null。 我以为是配置啥的问题,捣鼓了一上午,心态崩了,还好,在网上寻求解决办法的时候,我才发现这是由前后端分离造成的。话不多说,直接上干货。 1.前后端分离中的Session的状态 前言:想珍惜生命的可以直接从第二部分看起,想把session弄得明明白白的建议从这里看起。 1.1 Session是啥? session你可以理解为就是一个小型数据库(有点牵强),它可以存放用户存入的键值对的
SpringBoot项目两个不同的controller,获取Sessionnull,解决办法
weixin_43965878的博客
04-13 4623
在springBoot的一个controller中,我因为要用验证码来验证,所以把验证码存到了session中,但是我在另外一个controller中获取session,缺获取不到,我保证了已经存到了session中,因为我还打印get输出了一下,但是为什么获取不到呢 我在看了这么多的博客,简书后,觉得可能是sessionid不同,所以你获得不到这个session里面的值,因此我换了一种方式,...
在WebAPI使用Session(转载)
david专栏
09-05 3336
在WebAPI使用Session 最近在改写WebApp时要将以前用泛型处理例程写的Captcha 改成使用WebApi 来实作机制,在实作的过程中发现使用IRequiresSessionState session也无法使用(context.Session==null)   查过一些文章才发现需要在注册api路由需将RouteHandler 改写,才能使用。以下用ASP.net MVC 4来...
根据sessionid 获取session并销毁
最新发布
08-27
<think>在SSM项目中,根据Session ID获取并销毁Session需要解决两个核心问题: 1. 如何根据Session ID获取对应的HttpSession对象? 2. 如何安全地销毁指定Session? 参考引用[1]提到:由于`session.getSessionContext().getSession(sessionId)`方法已被废弃,我们可以自定义一个SessionContext来管理Session。同时,引用[3]展示了SSM项目中Session使用(登录和登出)以及通过`SessionStatus`来清除Session(但这种方式是针对当前会话的)。 因此,我们可以采用以下方案: 步骤1:自定义一个Session上下文管理器(MySessionContext),用于存储所有活跃的Session。 步骤2:通过HttpSessionListener监听器在Session创建和销毁时维护这个上下文。 步骤3:提供工具方法,根据Session ID获取Session并销毁。 具体实现如下: ### 1. 创建自定义Session上下文管理器 ```java import javax.servlet.http.HttpSession; import java.util.concurrent.ConcurrentHashMap; public class MySessionContext { private static final ConcurrentHashMap<String, HttpSession> SESSION_MAP = new ConcurrentHashMap<>(); public static void addSession(HttpSession session) { if (session != null) { SESSION_MAP.put(session.getId(), session); } } public static void removeSession(HttpSession session) { if (session != null) { SESSION_MAP.remove(session.getId()); } } public static HttpSession getSession(String sessionId) { return SESSION_MAP.get(sessionId); } } ``` ### 2. 实现Session监听器,维护上下文 ```java import javax.servlet.annotation.WebListener; import javax.servlet.http.HttpSession; import javax.servlet.http.HttpSessionEvent; import javax.servlet.http.HttpSessionListener; @WebListener public class MySessionListener implements HttpSessionListener { @Override public void sessionCreated(HttpSessionEvent se) { MySessionContext.addSession(se.getSession()); } @Override public void sessionDestroyed(HttpSessionEvent se) { MySessionContext.removeSession(se.getSession()); } } ``` ### 3. 创建工具类,提供根据Session ID销毁Session的方法 ```java import javax.servlet.http.HttpSession; public class SessionUtils { /** * 根据Session ID获取Session * @param sessionId Session ID * @return HttpSession对象,如果不存在则返回null */ public static HttpSession getSessionById(String sessionId) { return MySessionContext.getSession(sessionId); } /** * 根据Session ID销毁Session * @param sessionId Session ID */ public static void invalidateSession(String sessionId) { HttpSession session = getSessionById(sessionId); if (session != null) { session.invalidate(); // 使Session失效 } } } ``` ### 4. 在Controller中实现销毁指定SessionAPI ```java import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RestController; @RestController public class SessionController { @GetMapping("/invalidate/{sessionId}") public String invalidateSession(@PathVariable String sessionId) { SessionUtils.invalidateSession(sessionId); return "Session " + sessionId + " has been invalidated."; } } ``` ### 5. 配置监听器(如果使用web.xml) 如果项目使用`web.xml`,需要添加监听器配置(若使用`@WebListener`注解且Servlet容器支持则无需配置): ```xml <web-app> <listener> <listener-class>com.example.MySessionListener</listener-class> </listener> </web-app> ``` ### 注意事项 1. **线程安全**:使用`ConcurrentHashMap`保证线程安全。 2. **Session失效**:调用`session.invalidate()`会触发`sessionDestroyed`事件,监听器会自动从上下文中移除该Session。 3. **分布式环境**:此方案仅适用于单机环境。在分布式系统(如集群)中,需要使用集中式Session管理(如Redis)并配合Spring Session等框架。 4. **安全性**:暴露销毁SessionAPI需谨慎,应添加权限控制(如管理员才能调用)。 ### 补充:如何获取Session ID? 在用户登录后,前端可以通过Cookie获取Session ID(通常名为`JSESSIONID`),或通过响应头获取。在服务端,可以通过`request.getSession().getId()`获取当前Session的ID。 ### 参考引用说明 - 引用[1]:自定义Session上下文来管理Session,替代废弃方法。 - 引用[3]:展示了SSM中Session的基本使用(登录登出),但登出方法仅清除当前Session,而我们需要根据Session ID清除指定Session。 §§相关问题§§ 1. SSM项目中如何实现Session的分布式管理(如使用Redis)? 2. 如何安全地在前端传递Session ID以避免安全风险? 3. 在SSM项目中,如何实现管理员强制用户下线功能?</think>### SSM项目中根据Session ID获取并销毁Session的实现方案 在SSM项目中,根据Session ID获取并销毁Session需要解决两个核心问题: 1. 如何根据Session ID获取对应的HttpSession对象 2. 如何安全地销毁指定Session 以下是完整的实现方案: #### 1. 创建Session上下文管理器(核心组件) ```java import javax.servlet.http.HttpSession; import java.util.concurrent.ConcurrentHashMap; public class MySessionContext { // 使用线程安全的ConcurrentHashMap存储所有活跃Session private static final ConcurrentHashMap<String, HttpSession> SESSION_MAP = new ConcurrentHashMap<>(); // 添加Session到上下文 public static void addSession(HttpSession session) { if (session != null) { SESSION_MAP.put(session.getId(), session); } } // 从上下文中移除Session public static void removeSession(HttpSession session) { if (session != null) { SESSION_MAP.remove(session.getId()); } } // 根据Session ID获取Session public static HttpSession getSession(String sessionId) { return SESSION_MAP.get(sessionId); } // 销毁指定Session public static void invalidateSession(String sessionId) { HttpSession session = SESSION_MAP.get(sessionId); if (session != null) { session.invalidate(); // 使Session失效 } } } ``` #### 2. 实现Session监听器(维护Session上下文) ```java import javax.servlet.annotation.WebListener; import javax.servlet.http.HttpSessionEvent; import javax.servlet.http.HttpSessionListener; @WebListener public class SessionLifecycleListener implements HttpSessionListener { @Override public void sessionCreated(HttpSessionEvent se) { // Session创建时添加到上下文 MySessionContext.addSession(se.getSession()); } @Override public void sessionDestroyed(HttpSessionEvent se) { // Session销毁时从上下文移除 MySessionContext.removeSession(se.getSession()); } } ``` #### 3. 在web.xml中注册监听器 ```xml <web-app> <listener> <listener-class>com.example.SessionLifecycleListener</listener-class> </listener> </web-app> ``` #### 4. 创建Session管理工具类 ```java import javax.servlet.http.HttpSession; public class SessionUtils { // 根据Session ID获取Session public static HttpSession getSessionById(String sessionId) { return MySessionContext.getSession(sessionId); } // 销毁指定Session public static void destroySession(String sessionId) { MySessionContext.invalidateSession(sessionId); } // 获取当前用户信息(示例) public static Object getCurrentUser(HttpSession session) { return session.getAttribute("user"); } } ``` #### 5. 在Controller中实现销毁功能 ```java import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RestController; @RestController public class SessionController { // 根据Session ID销毁SessionAPI @GetMapping("/invalidate/{sessionId}") public String invalidateSession(@PathVariable String sessionId) { SessionUtils.destroySession(sessionId); return "Session " + sessionId + " has been invalidated"; } // 获取Session信息(示例) @GetMapping("/session/{sessionId}") public Object getSessionInfo(@PathVariable String sessionId) { HttpSession session = SessionUtils.getSessionById(sessionId); if (session == null) { return "Session not found or expired"; } return SessionUtils.getCurrentUser(session); } } ``` #### 6. 用户登录时设置Session属性(关键步骤) ```java @Controller @SessionAttributes("user") // 声明Session属性 public class LoginController { @PostMapping("/login") public String login(User user, Model model) { // 验证用户逻辑... model.addAttribute("user", user); // 将用户对象存入Session return "redirect:/dashboard"; } } ``` ### 实现原理说明 1. **Session跟踪机制**: - 通过`HttpSessionListener`监听所有Session生命周期事件 - 使用`ConcurrentHashMap`实时维护所有活跃Session的注册表 - 每个Session创建时自动注册,销毁时自动移除[^1] 2. **Session销毁过程**: - 调用`session.invalidate()`会触发Session销毁事件 - 监听器自动从注册表中移除该Session - Session关联的所有属性将被清除[^2] 3. **安全注意事项**: ```java // 在实际应用中应添加权限检查 @PreAuthorize("hasRole('ADMIN')") public void destroySession(String sessionId) { // 销毁逻辑 } ``` ### 常见问题解决方案 1. **Session获取为null的情况**: - 检查Session是否已过期(默认30分钟不活动会过期) - 确认Session ID是否正确传递 - 验证监听器是否正确注册 2. **分布式环境解决方案**: ```xml <!-- 在pom.xml中添加Spring Session依赖 --> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dependency> ``` 使用Redis等分布式存储替代内存注册表 3. **Session固定攻击防护**: ```java // 用户认证成功后刷新Session ID request.changeSessionId(); ``` ### 关键引用说明 - 引用[1]:自定义Session上下文替代已废弃的`getSessionContext()`方法 - 引用[2]:Session底层依赖Cookie实现,浏览器关闭时Session失效 - 引用[3]:SSM中通过`@SessionAttributes`和`SessionStatus`管理Session - 引用[4]:跨域请求需特殊处理Session携带问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值