sessionId在每次request请求时变化的问题处理

前言

 

众所周知，http协义的请求都是无状态的，所以服务端要记录用户的状态时，就需要用某种机制来识别具体的用户。而这个机制就是Session，Session是服务端保存的一个数据结构，用于跟踪用户状态的。我们一般用于存储用户的登录信息，也用其生成SessionId，存放在cookies上

 

问题

 

我们在开发过程中，因需要验证登录时使用的验证码，会在服务端生成一个SessionId与当时请求得到的验证码，放到redis上，再把SessionId返回存放到客户端上，作为该用户的一个凭证。用户请求时，会话未结束的话会带上SessionId，我们根据SessionId从redis上取到验证码，再对比用户传过来的验证码，就可以判断用户输入的验证码是否正确。代码也相对简单

 

//获取SessionId
String sessionId = request.getSession().getId();
//获取验证码
String validCode = getValidCode();
//以SessionId作为Key,验证码作为值，存到Redis上
RedisHelper.set(sessionId,validCode);

校验验证码

public boolean validCode(String code){
    String sessionId = request.getSession().getId();
    String codeValue = RedisHelper.get(sessionId);
    return codeValue.equals(code);
}

一切都是那么简单，那么容易。在本地测试完成，没任何问题，好！部署上线。

环境不同，问题就产生了。

生产环境是多台服务器的，用Nginx转发。如果每次请求如果没法在同一台服务器上，SessionId就会变来变去。SessionId的生成流程如下：

 

这样请求流程会有一个问题产生，就是客户端生成的SessionId必然是会每次都不一样。有人会说，这还不好解决吗，在nginx上做一下规则，把同一个客户端的请求打到同一台服务器上，不就解决了吗？

当然，这也是解决问题的一个方案，但哪天换了人维护，都不知道要配置上这个规则，又或者这个规则不适用于当前的业务，那就不嗝屁了？我们有没有其他办法处理？

 

 

思路

    1、从Session生成的规则来看，第一次请求，发现是没有SessionId的，服务端就会生成一个，并返回到客户端。这时会产生一个SessionId,并以Cookies形式存到客户端。

    2、如果客户端都有SessionId了，再次传到服务端，我拿着这个SessionId去使用就可以了，不必再生成一个。

    3、服务端怎么统一来拿到这个SessionId?

 

基于以上的问题，写个Demo来尝试一下。

1、建个测试请求

@Controller
@RequestMapping("home")
public class HomeController {


    @ResponseBody
    @GetMapping("getsessionid")
    public String getSessionId(HttpServletRequest request, HttpServletResponse response)
    {
        String sessionId = request.getSession().getId();
        return sessionId;
    }
}

第一次请求：

 

 

第二次请求：

 

 

 

通过对比，可以看出：

第一次客户端与服务端交互，会生成一个Session。这时SessionId会写到Response Cookies中。

第二次客户端与服务端进行交互，把会把Cookies中的SessionId一并提交到服务端。

在java环境开发，最方便是什么？看源码，所有不解的地方，源码会解答你!

 

sessionId是由request.getSession().getId();获取的，我们先看看request.getSession()是如何得到一个会话Session的。

通过调试，我们进入的是RequestFacade类中的getSession方法里，从438行内再进入到Request类内的getSession(bool create).上述序列图内说的可选地创建一个Session，这个可选项就是create这个参数，为true时：没有session就会创建一个，false则不创建

 

Request类内的getSession(bool create)

我们看一下doGetSession(create); 我们一般看源码，对doxxx类似的方法要特别留意一下，能做事的，一般都在这个方法里头，其他的一般都是准备工作。这里是一般情况，也不一定准确

Manager manager = context.getManager(); 这里从上下文获取到该上下文的管理器，这个管理器会管理到Session，Session的生成与查询都放到这里

this.session = manager.findSession(this.requestedSessionId); 重点在这里，这里看代码意思是从管理器中得到一个会话，但疑问就在于这个requestedSessionId怎么来？我们跟踪一下这个requestedSessionId的设置值的地方，可以看到值是从这里进来的

 

我们再看看这里是哪里调用到，打个断点。查看一下调用栈，看看往上的调用类与方法。

从这里可以看出SessionId是从Cookies来的。并且cookies名称为：JSESSIONID。而这个Id是可以通过request.getRequestedSessionId()得到。

通过request.getRequestedSessionId()得到客户端传过来的SessionId，就不必要再从服务端生成一个SessionId了。这样即使用用户第二次请求打不到第一次请求的服务器上，也没有关系，因为我已经有了Sessionid了，不需要再次生成一个SessionId。

通过整理，我们可以写一个拿SessionId的方法。代码如下：

/**
* 获取sessionId
* @param request   请求
* @param response  响应
* @return          sessionId
*/
public static String getSessionId(HttpServletRequest request, HttpServletResponse response) {
    // request为空返回null
    if (Objects.isNull(request) || Objects.isNull(response)){
        return null;
    }
    // 优先取请求里的JSSESSIONID
    String sessionId = request.getRequestedSessionId();
    // 如果为空，需要新建一个
    if (StringHelper.isNullOrEmpty(sessionId)){
        HttpSession httpSession = request.getSession();
        // 为空返回null
        if (Objects.isNull(httpSession)){
            return null;
        }
        sessionId = httpSession.getId();
    }
    return sessionId;
}

其实这个问题的解决思路还是比较简单明了的，有些人可能通过度娘，找一下，找到request.getRequestedSessionId()来得到Id就可以解决问题了，但深挖问题的根源，session是怎样产生的,request.getRequestedSessionId()与request.getSession().getId()有什么区别？在生成session之前，服务器还做了哪些事情，这些等等，都是看了代码才知道的。找问题不找根源就不知道原理