session失效问题

最新推荐文章于 2024-06-14 09:13:50 发布
最新推荐文章于 2024-06-14 09:13:50 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: 随笔 文章标签: session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/future_1024/article/details/89136304
版权

场景描述

一个单体应用,启动两个服务,在同一个浏览器访问,登录上一个A服务后,再登录B服务,会导致A的session失效

分析

两个相同服务,彼此应该是没有影响的,但产生了影响,且不同浏览器就没有影响

源码

在一个登录过滤器中,有一段这样的代码,最终是由于session中没有userid导致表象的session失效,但实际上这个session已经不是之前携带userid的session了

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpSession session =  httpreq.getSession();
    String userid  = session.getAttribute("userid")==null?"":(String)session.getAttribute("userid");
    if(StringUtils.isEmpty(userid)){
        if(this.isAjaxRequest(httpreq)){
            httpres.getWriter().print("timeout");
            return;
        }
    }
}
 

关键在于以下代码

HttpSession session =  httpreq.getSession();

查看源码实现

RequestFacade:

@Override
public HttpSession getSession() {
​
    if (request == null) {
        throw new IllegalStateException(
            sm.getString("requestFacade.nullRequest"));
    }
​
    return getSession(true);
}
​
@Override
public HttpSession getSession(boolean create) {
​
    if (request == null) {
        throw new IllegalStateException(
            sm.getString("requestFacade.nullRequest"));
    }
​
    if (SecurityUtil.isPackageProtectionEnabled()){
        return AccessController.
            doPrivileged(new GetSessionPrivilegedAction(create));
    } else {
        return request.getSession(create);
    }
}

Request

@Override
public HttpSession getSession(boolean create) {
    Session session = doGetSession(create);
    if (session == null) {
        return null;
    }
​
    return session.getSession();
}
​
protected Session doGetSession(boolean create) {
​
    // There cannot be a session if no context has been assigned yet
    if (context == null) {
        return (null);
    }
​
    // Return the current session if it exists and is valid
    if ((session != null) && !session.isValid()) {
        session = null;
    }
    if (session != null) {
        return (session);
    }
​
    // Return the requested session if it exists and is valid
    Manager manager = null;
    if (context != null) {
        manager = context.getManager();
    }
    if (manager == null)
    {
        return (null);      // Sessions are not supported
    }
    if (requestedSessionId != null) {
        try {
            session = manager.findSession(requestedSessionId);
        } catch (IOException e) {
            session = null;
        }
        if ((session != null) && !session.isValid()) {
            session = null;
        }
        if (session != null) {
            session.access();
            return (session);
        }
    }
​
    // Create a new session if requested and the response is not committed
    if (!create) {
        return (null);
    }
    if ((context != null) && (response != null) &&
        context.getServletContext().getEffectiveSessionTrackingModes().
        contains(SessionTrackingMode.COOKIE) &&
        response.getResponse().isCommitted()) {
        throw new IllegalStateException
            (sm.getString("coyoteRequest.sessionCreateCommitted"));
    }
​
    // Attempt to reuse session id if one was submitted in a cookie
    // Do not reuse the session id if it is from a URL, to prevent possible
    // phishing attacks
    // Use the SSL session ID if one is present.
    if (("/".equals(context.getSessionCookiePath())
         && isRequestedSessionIdFromCookie()) || requestedSessionSSL ) {
        session = manager.createSession(getRequestedSessionId());
    } else {
        session = manager.createSession(null);
    }
​
    // Creating a new session cookie based on that session
    if ((session != null) && (getContext() != null)
        && getContext().getServletContext().
        getEffectiveSessionTrackingModes().contains(
            SessionTrackingMode.COOKIE)) {
        Cookie cookie =
            ApplicationSessionCookieConfig.createSessionCookie(
            context, session.getIdInternal(), isSecure());
​
        response.addSessionCookieInternal(cookie);
    }
​
    if (session == null) {
        return null;
    }
​
    session.access();
    return session;
}

以上有两段关键代码

// 1
if ((session != null) && !session.isValid()) {
    session = null;
}
// 2
// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
    && getContext().getServletContext().
    getEffectiveSessionTrackingModes().contains(
        SessionTrackingMode.COOKIE)) {
    Cookie cookie =
        ApplicationSessionCookieConfig.createSessionCookie(
        context, session.getIdInternal(), isSecure());
​
    response.addSessionCookieInternal(cookie);
}

ApplicationSessionCookieConfig:

public static Cookie createSessionCookie(Context context,
            String sessionId, boolean secure) {
​
        SessionCookieConfig scc =
            context.getServletContext().getSessionCookieConfig();
​
        // NOTE: The priority order for session cookie configuration is:
        //       1. Context level configuration
        //       2. Values from SessionCookieConfig
        //       3. Defaults
        // 主要看这段,创建cookie,并将sessionId存储到cookie中
        Cookie cookie = new Cookie(
                SessionConfig.getSessionCookieName(context), sessionId);
  

SessionConfig:

/**
  * Determine the name to use for the session cookie for the provided
  * context.
  * @param context
 */
public static String getSessionCookieName(Context context) {
​
    String result = getConfiguredSessionCookieName(context);
​
    if (result == null) {
        result = DEFAULT_SESSION_COOKIE_NAME;
    }
​
    return result;
}
​
private static String getConfiguredSessionCookieName(Context context) {
​
    // Priority is:
    // 1. Cookie name defined in context
    // 2. Cookie name configured for app
    // 3. Default defined by spec
    if (context != null) {
        String cookieName = context.getSessionCookieName();
        if (cookieName != null && cookieName.length() > 0) {
            return cookieName;
        }
​
        SessionCookieConfig scc =
            context.getServletContext().getSessionCookieConfig();
        cookieName = scc.getName();
        if (cookieName != null && cookieName.length() > 0) {
            return cookieName;
        }
    }
​
    return null;
}

1: 验证session不为空且有效,根据结果(返回新的session)可知,之前的session已经失效,原因继续看

2: 1和2之前生成了新的session,此时的session是新产生的,将此sessionId存储到cookie中,也就是说获取session时应该会去cookie中找sessionId。

那么问题就很清晰了,相同的服务,开启两个,后一个(B服务)产生的session将sessionId存储至cookie中,导致A服务(前一个)的sessionId被覆盖(详见cookie),导致session失效,即1中session失效的原因,于是创建新的session,新的session中没有userid,导致A服务的表象的session失效(这里的表象是此应用的相关业务)。

cookie

根据SessionConfig的代码调试可知,本应用从context中获得到了cookieName为null,最终使用的是默认name:JSESSIONID,Cookie是面向路径的, 在一个目录页面里设置的 Cookie 在另一个目录的页面里是看不到的 ,但这两个服务都是在本地启动,域名都为localhost,所以会相互覆盖

 

future_1024
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ADS调试中出现"........is not a valid session "问题的处理
warmshepherd的专栏
08-13 2768
 使用ADS1.2 + J-JTAG,每次调试的时候都会出现“the session file could not be loaded”这个错误,寻求解决办法?用户创建的工程编译通过后,进入AXD调试环境时,会弹出如图 1.1所示的错误窗口。图 1.1  错误窗口     “the session file could not be loaded”意指“过程文件不能装载”。the se
Session 失效的原因汇总及解决丢失办法
10-23
主要介绍了Session 失效的原因汇总的相关资料,需要的朋友可以参考下
Appium:io.appium.uiautomator2.common.exceptions.NoSuchDriverException: The session identified by xxx
最新发布
q1003675852的博客
06-14 322
本文主要记录python运行Appium时遇到Appium:io.appium.uiautomator2.common.exceptions.NoSuchDriverException: The session identified by xxx问题及解决方案。
spring整合hibernate的时候使用session的时候报:is not valid without active transaction
Seven-K
12-15 389
在使用spring整合hibernate的,然后测试环境的时候报错:org.hibernate.HibernateException: save is not valid without active transaction我使用的环境是spring4.3.*和hibernate5版本。以下是示例代码:此时运行测试会报:org.hibernate.HibernateException: save i
session长时间不登录失效问题,再重登录出现两个嵌套登录页面的解决办法
任玥的博客
09-13 812
转发自:https://blog.csdn.net/rs1234/article/details/49491757 <script   type="text/javascript">         if (top != window)         top.location.href = window.location.href;      </script> ...
session is close的问题
02-15 2937
在hibernate开发DAO模块,如果使用session不可避免会出现 session is close的问题。而且我是用myecplse自动编的DAO。如果不加特别处理的话,session不能有子session存在要不然就总会显示session is closed解决办法目前就知道有2个,一个是自己做个DAO工厂,一个是用filter功能这两个办法,网上都有介绍,不过对于自动生
iframe跨域与session失效问题的解决办法
10-26
在探讨如何解决iframe跨域与session失效问题之前,我们需要了解几个重要的概念:什么是跨域,什么是session以及cookie。 首先,跨域问题通常出现在Web应用中,尤其是在使用iframe嵌入第三方网站内容时。在Web技术...
详解.net mvc session失效问题
10-21
总的来说,处理.NET MVC中的Session失效问题需要关注请求类型,区分Ajax和非Ajax请求,以及认证状态。通过自定义授权过滤器和调整客户端代码,我们可以确保用户在Session失效时被引导至登录页面,从而维护应用的安全...
使用Ajax时处理用户session失效问题的解决方法
12-10
通过这样的方式,我们能够有效地处理Ajax请求时的用户session失效问题,确保用户在session过期后能够被正确地引导至登录页面。同时,这也是一种常见的跨域问题解决方案,因为跨域请求同样需要在服务器端返回正确的...
httpsession mysql,session 的持久化存储
weixin_29115107的博客
03-19 315
sessio遇新是直朋能到分览支体调n 的定义:ses用,事少来最差端在事路原们这制码效移,动sion 是一个概念,是一个数据对象,用来存储访问者的朋支不器几事为的时后级功发发来久都这样含制层是请些间例业多在上屏屏信息。sessi在很理应于是会商器则,,是各近或多,用维on 的存储方式由开发者自己定义,可存于内存,redis,mysql,甚至是 cookie 中在重说道。础过学开概码数项遍间里哦行...
Session的显式创建和销毁流程
无意摘花
05-07 774
Session的创建分为隐式创建和显式创建,隐式创建对开发者是透明的,我们不关心它的什么时候创建,什么时候销毁,也不知道他是如何使用的。但是显示创建却需要我们自己去维护它的生命周期。这很类似于Java的GC之于C语言的malloc和free。相似的,销毁也有显式销毁和隐式销毁之分。 一、创建流程 Servlet的API给我们提供了两个接口,用以创建session。 /** * R...
第七次作业
weixin_63779911的博客
11-04 701
mpls
spring session分布式session解决方案&&springboot2.1.5使用spring session启动报错java.lang.IllegalStateException的解决
weixin_40240756的博客
04-06 808
在使用spring session解决分布式session一致性问题的时候,遇到一个问题,完整报错如下 java.lang.IllegalStateException: Error processing condition on org.springframework.boot.autoconfigure.task.TaskSchedulingAutoConfiguration.taskSch...
HttpServletRequest的session失效问题,跨域失效问题
qq_39081114的博客
05-18 1294
HttpServletRequest的session失效问题,跨域失效问题环境测试结果尝试方法最后解决方法最后 环境 mac系统 IDEA 2020 safari浏览器 测试结果 添加session session失效了 尝试方法 在后端的Controller入口添加 @CrossOrigin(allowCredentials=“true”, allowedHeaders = “*”) 在前端的ajax添加 crossDomain:“true”, xhrFields:{withCr
appium学习总结4 - 创建一个新会话
因热爱而坚持,因坚持而愈发热爱。
03-08 1134
创建会话
Session失效的处理办法
weixin_30861459的博客
05-26 286
最近最一个电子商务网站,发现了好多问题,不过还好都顺利解决了,关于session问题记录如下,以便日后查阅,同时也希望能给网友们带来帮助,本文内容并非完全出自本人,是本人对网络上的一些处理方法的整理。 检查是否超时,默认是20分钟,设置的方法是Session.TimeOut=30;或者您可以设置到更高,这个数值的单位是分钟,大家视情况而定。检查代码有无Session.Aband...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

future_1024

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值