webAPP session同步处理解决方案

最新推荐文章于 2024-04-02 09:44:46 发布
最新推荐文章于 2024-04-02 09:44:46 发布
阅读量232 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java json 数据结构与算法
原文链接:https://my.oschina.net/ljc94/blog/777589
本文探讨了混合开发方式的APP中,使用WebView访问登录服务器时如何处理Session同步问题。介绍了Session和Cookie的区别,详细讲解了Session的工作机制及其实现方式,并提供了一种基于Shiro框架的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

混合开发方式的APP中使用WebView来访问登录服务器,需要做到session同步处理。

 

在解决问题前先简要回顾下Session与Cookie

Cookie和Session都为了用来保存状态信息,都是保存客户端状态的机制,它们都是为了解决HTTP无状态的问题而所做的努力。

Session可以用Cookie来实现,也可以用URL回写的机制来实现。

Cookie和Session有以下明显的不同点:

1)Cookie将状态保存在客户端,Session将状态保存在服务器端;

2)Cookies是服务器在本地机器上存储的小段文本并随每一个请求发送至同一个服务器。网络服务器用HTTP头向客户端发送cookies,在客户终端,浏览器解析这些cookies并将它们保存为一个本地文件,它会自动将同一服务器的任何请求缚上这些cookies。

3)Session是针对每一个用户的,变量的值保存在服务器上,用一个sessionID来区分是不同用户session变量,这个值是通过用户的浏览器在访问的时候返回给服务器,当客户禁用cookie时,这个值也可能设置为由get来返回给服务器;

4)就安全性来说:当你访问一个使用session 的站点,同时在自己机器上建立一个cookie,建议在服务器端的SESSION机制更安全些.因为它不会任意读取客户存储的信息。

Session机制

Session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。

当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个 session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个 session id将被在本次响应中返回给客户端保存。

Session的实现方式

1 ) 使用Cookie来实现

服务器给每个Session分配一个唯一的JSESSIONID,并通过Cookie发送给客户端。

当客户端发起新的请求的时候,将在Cookie头中携带这个JSESSIONID。这样服务器能够找到这个客户端对应的Session。

 2 )使用URL回显来实现

URL回写是指服务器在发送给浏览器页面的所有链接中都携带JSESSIONID的参数,这样客户端点击任何一个链接都会把JSESSIONID带给服务器。
如果直接在浏览器中输入url来请求资源,Session是匹配不到的。

Tomcat对 Session的实现,是一开始同时使用Cookie和URL回写机制,如果发现客户端支持Cookie,就继续使用Cookie,停止使用URL回写。如果发现Cookie被禁用,就一直使用URL回写。jsp开发处理到Session的时候,对页面中的链接记得使用 response.encodeURL() 。

解决方案:

使用Shiro访问控制过滤器AccessControlFilter

如果在web应用程序中部署应用,默认情况下,应用将以HttpSession为基础。

在企业级应用中,你在多个应用中可以使用相同的API,无论部署环境。而且使用任何客户端技术你都可以共享会话数据。首先需要判断登录会话信息

如果正确可以向下执行方法saveRequestAndRedirectToLogin(request, response);

如果不正确,就会对不同的业务进行处理:比如信息不正确、重新登录,用户被锁定的异常,当然也可以使用自定义抛出的异常。

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.log4j.Logger;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;

import com.common.utils.UserAgentUtils;
import com.modules.sys.utils.UserUtils;

public class UserFilter extends AccessControlFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest request,
			ServletResponse response, Object mappedValue) throws Exception {
		if (isLoginRequest(request, response)) {
			return true;
		} else {
			Subject subject = getSubject(request, response);

			return subject.getPrincipal() != null;
		}
	}

	@Override
	protected boolean onAccessDenied(ServletRequest request,
			ServletResponse response) throws Exception {
		Subject subject = getSubject(request, response);
		HttpServletRequest request2 = (HttpServletRequest) request;
		HttpServletResponse repResponse2 = (HttpServletResponse) response;
		HttpSession session = request2.getSession();
        // 判断请求客户端来自iOS或者Android
		if ("APPLE_WEB_KIT".equals(UserAgentUtils.getBrowser(request2).toString())
				|| "CHROME_MOBILE".equals(UserAgentUtils.getBrowser(request2).toString())) {
            // 若无会话信息,则跳转到登录页面
			if (subject.getPrincipal() == null) {
				request.getRequestDispatcher("/static/appNativeToInvoke.jsp")
						.forward(request, response);
			}
		} else {
			saveRequestAndRedirectToLogin(request, response);
		}
		return false;
	}
}

appNativeToInvoke.jsp中的JS代码部分:

webview调用服务端登录接口,获取服务端session,刷新之后就可以共享到服务端session并登录成功;

<script>
//app native调用
function login(userPhone,password){
	 $.ajax(
             {
                 url: "/interface/appLogin/webviewlogin",
                 type: "post",
                 dataType: "json",
                 async: false ,
                 data:{"username":phone,"password":password},
                 success: function (data) {
                	 //loginSuccess();
                 }
    })
	    return "";
}
function getWebhSession() {
		var message = { 'message' : 'iOS_Login'};
	    window.webkit.messageHandlers.iOS_Handler.postMessage(message);
}
function getWebhSession2() {
		appInstance.doLogin();
}
window.setTimeout("getWebhSession()",00001);
window.setTimeout("getWebhSession2()",00001);
</script>

LoginController.java

@Controller
@ResponseBody
@RequestMapping(value = "httpInterface/appLogin")
public class loginController extends BaseController {

    @RequestMapping(value = { "webviewlogin" })
	public Map<String, Object> webviewlogin(String username, String password) {
		    System.err.println("app调用登录接口登录");
            Map<String, Object> result=null;
			Subject user = SecurityUtils.getSubject();
			UsernamePasswordToken token1 = new UsernamePasswordToken();
			token1.setUsername(username);
			token1.setRememberMe(false);
			try {
				user.login(token1);
				Map<String, Object> dataMap = new HashMap<>();
				User user2 = UserUtils.getUser();
				System.err.println("登录接口的sessionid为:"
						+ UserUtils.getSession().getId());
			} catch (AuthenticationException e) {
				result = getErrResultMap("登录失败");
			}
		return result;
	}
}

user.login(token);的方法调用,调用到Subjectsubject = securityManager.login(this, token);

这是一个简单的Shiro的登录认证过程,其实这部分功能也就是帮助我们验证此用户是否能登录本系统,和我们普通的登录完成的是同样的功能,Shiro是帮我们封装了这部分内容,让我们无需将登录的验证均写到程序中,而是使用配置的方式,更加灵活的应对变化,符合我们所说的OCP(开闭)原则(“Closed for Modification; Open for Extension”);

public void login(AuthenticationToken token) throws AuthenticationException {  
        clearRunAsIdentitiesInternal();  
        Subject subject = securityManager.login(this, token);  
  
        PrincipalCollection principals;  
  
        String host = null;  
  
        if (subject instanceof DelegatingSubject) {  
            DelegatingSubject delegating = (DelegatingSubject) subject;  
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:  
            principals = delegating.principals;  
            host = delegating.host;  
        } else {  
            principals = subject.getPrincipals();  
        }  
  
        if (principals == null || principals.isEmpty()) {  
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +  
                    "empty value.  This value must be non null and populated with one or more elements.";  
            throw new IllegalStateException(msg);  
        }  
        this.principals = principals;  
        this.authenticated = true;  
        if (token instanceof HostAuthenticationToken) {  
            host = ((HostAuthenticationToken) token).getHost();  
        }  
        if (host != null) {  
            this.host = host;  
        }  
        Session session = subject.getSession(false);  
        if (session != null) {  
            this.session = decorate(session);  
        } else {  
            this.session = null;  
        }  
    }

 

转载于:https://my.oschina.net/ljc94/blog/777589

基于 Kafka Debezium 构建实时数据同步
wenyusuran的专栏
09-09 3581
起源 在进行架构转型分库分表之前,我们一直采用非常典型的单体应用架构:主服务是一个 Java WebApp,使用 Nginx 并选择 Session Sticky 分发策略做负载均衡和会话保持;背后是一个 MySQL 主实例,接了若干 Slave 做读写分离。在整个转型开始之前,我们就知道这会是一块难啃的硬骨头:我们要在全线业务飞速地扩张迭代的同时完成架构转型,因为这是实实在在的”给高速行驶的汽车换轮胎”。 为了最大限度地减少服务拆分分库分表给业务带来的影响(不影响业务开发也是架构转型的前提),我们
Session
07-03 755
目 录 一、Session 二、Cookies 三、Cookies机制 四、Session机制 五、Cookies机制Session机制的区别和联系 六、常见问题 七、Session的用法 Session是WEB上有效的信息交互手段,因其使用方便、稳定、安全
WebAppSession原理
凛冬将至
07-13 258
  因为Http的无接连,无状态,所以造就了Cookie,Session的诞生。可以看我的上篇WebApp之Cookie原理。  Session也是类似Cookie一样的功能,用于记录客户端浏览器服务器端交互的会话状态。它Cookie的重要区别是:  1.Cookie是记录在客户端浏览器本地;(它是不可靠的,客户端浏览器可以不允许服务器记录,还可以删除。)  2.Session是记录在服务器...
app后端session共享问题
weixin_33980459的博客
12-15 387
在分布式中,session如何共享,用户登陆要解决的问题如下图所示,通过nignx请求转发,到不同的应用模块中,需要判断用户有没有登陆验证通过,问题又来了,app的移动端不像浏览器,没有cookie,session,那么怎么搞呢?这时可以使用session外置方式解决,用redis统一管理session,用redis来模拟session。浏览器的sess...
3、实现你的AppServer和AppSession
weixin_34128501的博客
03-22 331
关键字: AppServer, AppSession 什么是AppSession? AppSession 代表一个和客户端的逻辑连接,基于连接的操作应该定于在该类之中。你可以用该类的实例发送数据到客户端,接收客户端发送的数据或者关闭连接。 什么是AppServer? AppServer 代表了监听客户端连接,承载TCP连接的服务器实例。理想情况下,我们可以...
JAVA开发app能不能用session_App 开发者应该知道的 cookie 和 session
weixin_39898011的博客
02-27 766
现在的移动端的 App 已经基本被 Android 和 iOS 两者瓜分天下,我们知道: Android 应用目前使用 Android/Kotlin 开发,iOS 应用使用 Object-C / Swift 开发。它们的共同点都是调用手机原生组件,这样的方式能充分利用手机原有性能。无论从界面美观性方面,还是从使用流畅性方面,相比 React-Native 方式开发的应用都有很大的优势。它们的发展又...
开发移动app服务器端session的状态管理交互
weixin_30765475的博客
09-25 695
我们进行web开发的时候,一般使用cookie或session来保存用户的登录状态,通过检查cookie或session的数据来验证用户是否具有对某些需要登录的页面的访问权限,这一切都是通过浏览器来完成,这是b/s架构,但是,假如客户端是移动应用端,那该怎么办?因为这是c/s架构,无法使用使用cookie或session来检验用户的状态,此时的情况就好像浏览器禁用了cookie。 庆幸的是,这是...
google.appengine.ext.webapp中间件和异步处理
Google App Engine和Webapp框架概述 ## 1.1 Google App Engine平台简介 Google App Engine(GAE)是一个高度可扩展的平台,允许开发者运行和管理应用在Google强大的基础设施上。该平台提供了自动化的管理和扩展,...
java.lang.OutOfMemoryError: Java heap space 问题分析&解决方案
热门推荐
开心就好~~~专栏
11-20 2万+
java.lang.OutOfMemoryError: Java heap space 问题分析&解决方案前言分析手段解决办法原因题外话 前言 生产环境OOM并不可怕,可怕的是你不知道问题所在,一直在扩大运行内存。楼主的生产环境OOM异常如图: 分析手段 首先需要做的是为运行环境加上gc日志&在内存溢出的时候让他产生一个内存快照。 我是tomcat运行的服务所以去改tomcat启动参数: 找到对应运行服务的tomcat/bin目录修改启动参数如下图 参数 作用 -XX:M
【Tomcat根目录配置细节攻略】:路径解析错误的终极解决方案
本文系统地探讨了Tomcat服务器的根目录结构、配置文件以及路径解析错误的根本原因,并提供了错误解决方案的实战演练和预防路径解析错误的最佳实践。首先,详细分析了Tomcat根目录的结构及各个主要目录的功能和配置...
Mobile-OnlineStorage:基于HTML5的移动端网盘webapp
06-13
4. IndexedDB:作为离线存储的解决方案,IndexedDB提供了数据库级别的数据存储,用于存储大量文件元数据或实现离线访问。 二、JavaScript框架库 由于标签中提及了“JavaScript”,我们可以推断Mobile-...
web集群时session同步的3种方法
weixin_34050427的博客
06-10 74
web集群时session同步的3种方法 2011-09-21 15:53:30 标签:会话保持会话同步session同步集群会话同步 在做了web集群后,你肯定会首先考虑session同步问题,因为通过负载均衡后,同一个IP访问同一个页面会被分配到不同的服务器上,如果session同步的话,一个登录用户,一会是登录状态,一会又不是登录状态。所以本文就根据这种情况给出三种不同的方法来...
分布式web架构中对session同步的常用处理方法以及优缺点
HOHO的博客
08-06 174
写在前面 最近在读一本来自淘宝技术团队大牛的书,名字叫《大型网站系统Java中间件实践》。开篇的章节详细地介绍了一个网站架构由小变大不断演进的过程,其中从单机架构升级到集群架构的过程中着重介绍了关于session同步问题, 这也是很多人在聊到分布式时绕不过去的话题。下面就整理下书中的内容,也算是做个读书笔记,方便以后参考。 问题从哪来 &#1...
如何解决不同的webAppsession 共享问题
ShuLiu's Log Book
02-10 5308
复制严格说来不算持久化保存,因为session实际上还是保存在内存里,不过同样的信息被复制到各个cluster内的服务器进程中,这样即使某个服务器进程停止工作也仍然可以从其他进程中取得session。 cookie生存时间的设置则会影响浏览器生成的cookie是否是一个会话cookie。默认是使用会话cookie。有兴趣的可以用它来试验我们在第四节里提到的那个误解。 cookie的路径
探秘WeAppSessionClient:小程序 session 管理的高效解决方案
最新发布
gitblog_00005的博客
04-02 527
探秘WeAppSessionClient:小程序 session 管理的高效解决方案 在微信小程序开发中,处理用户会话(session)是一项常见的挑战。weapp-session-client 是 CFETeam 推出的一个轻量级库,专为解决这个问题而设计。本文将深入探讨其原理、功能和特性,助你轻松实现小程序的会话管理。 项目简介 weapp-session-client 是一个基于 Java...
web项目Session详解
06-28 5290
目录: 一、术语session 二、HTTP协议状态保持 三、理解cookie机制 四、理解session机制 五、理解javax.servlet.http.HttpSession 六、HttpSession常见问题 七、跨应用程序的session共享 八、总结 参考文档 一、术语session 在我的经验里,session这个词被滥用的程度大概仅次于transaction
Android终端APP访问服务器保持在同一个session的方式
Javen天道酬勤
12-09 1万+
在实际开发中,会有这样一个问题: WEB应用为了做到安全性更好,会将登录成功的用户信息保存在session中,并且使用过滤器进行登录拦截。只有登录后的用户才能继续操作,没有登录的用户会提示他去登录。比如,阿里云邮箱登录后才能看到邮件的详细内容,当页面长时间没有被用户操作,会提示用户登录超时,需要重新登录。这样的场景在web项目中都会有,登录信息基本是被保存在服务器的session中。 sess
php写app接口session用不了,APP请求接口无法获取到session数据的解决方案
weixin_31829293的博客
03-16 1158
一、Sssion的说明1、通过SESSION(cookie是另外一种解决办法)记录用户的有关信息,以供用户再次以此身份对web服务器提起请求时作确认。会话的发明使得一个用户在多个页面间切换时能够保存他的信息。网站编程人员都有这样的体会,每一页中的变量是不能在下一页中使用的(虽然form,url也可以实现,但这都是非常不理想的办法),而SESSION中注册的变量就可以作为全局变量使用了。2、php的...
SyncMarks-Webapp: 跨浏览器书签同步解决方案
在SyncMarks-Webapp中,用户可能需要登录他们的账户来同步书签,并且可能需要解决在不同浏览器间同步时出现的冲突。例如,如果用户在Firefox和Chrome上对同一书签做了不同的修改,那么在同步时就需要一个策略来决定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值