Spring-Session + Struts2 无法写出Cookie: SESSION的一个巨坑

最新推荐文章于 2022-08-08 15:37:32 发布
最新推荐文章于 2022-08-08 15:37:32 发布
阅读量654 收藏 1
点赞数
分类专栏: 那些年掉的坑 文章标签: Spring Session struts2 Cookie redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oKuZuoZhou/article/details/95192745
版权

公司现有系统需要整合Spring Session + Spring data redis,整合后发现了一个问题,就是Spring session的 Cookie (名称为:SESSION无法写出到客户端浏览器,导致登录验证成功后又被LoginFilter验证再次强制重定向到登录页)。

查看Spring Session源码:发现写入Cookie都是通过以下方法实现的:

org.springframework.session.web.http.DefaultCookieSerializer.writeCookieValue

而这个方法什么时候会被调用呢?

调用链如下:

org.springframework.session.web.http.SessionRepositoryFilter#SessionRepositoryRequestWrapper的commitSession方法

调用:

org.springframework.session.web.http.CookieHttpSessionStrategy的OnNewSession方法

调用:

org.springframework.session.web.http.DefaultCookieSerializer的writeCookieValue方法

 

那么commitSession方法会在什么时候被调用呢?这个方法主要在2个地方调用:

第一个调用地方如下: 

@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		request.setAttribute(SESSION_REPOSITORY_ATTR, this.sessionRepository);

		SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(
				request, response, this.servletContext);
		SessionRepositoryResponseWrapper wrappedResponse = new SessionRepositoryResponseWrapper(
				wrappedRequest, response);

		HttpServletRequest strategyRequest = this.httpSessionStrategy
				.wrapRequest(wrappedRequest, wrappedResponse);
		HttpServletResponse strategyResponse = this.httpSessionStrategy
				.wrapResponse(wrappedRequest, wrappedResponse);

		try {
			filterChain.doFilter(strategyRequest, strategyResponse);
		}
		finally {
			wrappedRequest.commitSession();
		}
	}

它在filter过滤链完成后被调用,而一般Spring Session的SessionRepositoryFilter建议是放在filter过滤链的第一个位置,那么上面方法在finlly中调用commitSession,将保证在最后执行过滤器SessionRepositoryFilter,commitSession一定会调用到。

虽然是放在过滤器的最后,一定会被调用,但是调用是否有效还要看情况,,调用是否有效取决于 response.isCommited()方法返回值的。

 

第二个调用地方:

private final class SessionRepositoryResponseWrapper
			extends OnCommittedResponseWrapper {

		private final SessionRepositoryRequestWrapper request;

		/**
		 * Create a new {@link SessionRepositoryResponseWrapper}.
		 * @param request the request to be wrapped
		 * @param response the response to be wrapped
		 */
		SessionRepositoryResponseWrapper(SessionRepositoryRequestWrapper request,
				HttpServletResponse response) {
			super(response);
			if (request == null) {
				throw new IllegalArgumentException("request cannot be null");
			}
			this.request = request;
		}

		@Override
		protected void onResponseCommitted() {
			this.request.commitSession();
		}
	}

 

commitSession方法会被 OnResponseCommited方法调用,OnResponseCommited()是抽象模板方法,具体看SessionRepositoryResponseWrapper的父类:OnCommittedResponseRrapper类中的调用:

private void doOnResponseCommitted() {
		if (!this.disableOnCommitted) {
			onResponseCommitted();
			disableOnResponseCommitted();
		}
	}

 

doOnResponseCommited在什么时候被调用呢?这个被调用地方比较多了:

//在OnCommittedResponseWrapper的以下这些方法中会执行doOnResponseCommitted()

@Override
public final void sendError(int sc, String msg) throws IOException {
	doOnResponseCommitted();
	super.sendError(sc, msg);
}

@Override
public final void sendRedirect(String location) throws IOException {
	doOnResponseCommitted();
	super.sendRedirect(location);
}

@Override
public void flushBuffer() throws IOException {
	doOnResponseCommitted();
	super.flushBuffer();
}

 

而OnCommittedResponseRrapper类的内部类SaveContextPrintWriter和SaveContextServletOutputStream相关方法也会调用:

//OnCommittedResponseRrapper的内部类SaveContextPrintWriter的以下方法会调用doOnResponseCommitted
//OnCommittedResponseRrapper的内部类SaveContextServletOutputStream的以下方法会调用doOnResponseCommitted
public void flush() throws IOException {
	doOnResponseCommitted();
	this.delegate.flush();
}

public void close() throws IOException {
	doOnResponseCommitted();
	this.delegate.close();
}


//另外这2个内部类的相关print/write方法也都会调用doOnResponseCommitted()
public void print(String s) throws IOException {
	trackContentLength(s);
	this.delegate.print(s);
}
private void trackContentLength(String content) {
	checkContentLength(content.length());
}

//这个方法非常重要!!!
private void checkContentLength(long contentLengthToWrite) {
	this.contentWritten += contentLengthToWrite;
	boolean isBodyFullyWritten = this.contentLength > 0
		&& this.contentWritten >= this.contentLength;
	int bufferSize = getBufferSize();
	boolean requiresFlush = bufferSize > 0 && this.contentWritten >= bufferSize;
	if (isBodyFullyWritten || requiresFlush) {
		doOnResponseCommitted();
	}
}

注意了: 以上这些方法在真正执行flush, close, 或者 print, write等方法前,会先执行doOnResponseCommitted(); 保证Cookie写出操作在 内容输出前 被执行。

因为response.isCommited()方法如果返回为true,那么往response中写入cookie是无效的,无法写入到客户端浏览器。API说明如下:

 

那么可以得出以下结论:

writeCookieValue()方法最终是被 commitSession()方法给调用的,

而commitSession最终会被OnResponseCommited方法调用,

而OnResponseCommited方法会被 以下场景调用:

1. response.flushBuffer()

2. response.sendRedirect()

3. response.sendError()

4. response.getWriter()或者response.getOutputStream() 的 close()方法

5. response.getWriter()或者response.getOutputStream() 的 flush()方法

6. response.getWriter()或者response.getOutputStream() 的 print()或者write()等相关内容输出方法调用

 

好了,回到坑的问题,为什么cookie无法被写出。

系统使用了: struts-json-plugin.jar 做为struts2的json实现

而公司系统把登录请求被做成了一个ajax请求。

所有的正常txt/html等正常跳转(非ajax请求)都能正常的写出 SESSION Cookie.

 

先看下登录Action 返回的JSON内容:

 

再看下Struts-json-plugin是如何输出json的,具体参考:

org.apache.struts2.json.JSONUtil的writeJSONToResponse方法:

public static void writeJSONToResponse(SerializationParams serializationParams) throws IOException {
    ....
    } else {
        response.setContentLength(json.getBytes(serializationParams.getEncoding()).length);
        PrintWriter out = response.getWriter();
        out.print(json);
    }
}

可以看出,writeJSONToResponse并没有主动调用close,或者 flush等方法。所以不会主动触发OnResponseCommited,

但是print和write方法其实也可以有条件性质的触发OnResponseCommited,如下面代码所示:

response.setContentLength 这个设置的值是 77,因为编码是UTF-8,返回结果中有4个汉字,1个汉字3个字节。

 json.getBytes(serializationParams.getEncoding()).length  返回值是77.

而out.print(json)方法中会进行判断,代码如下:

public void print(String s) throws IOException {
	trackContentLength(s);
	this.delegate.print(s);
}
private void trackContentLength(String content) {
	checkContentLength(content.length());
}

private void checkContentLength(long contentLengthToWrite) {
	this.contentWritten += contentLengthToWrite;
	boolean isBodyFullyWritten = this.contentLength > 0
		&& this.contentWritten >= this.contentLength;
	int bufferSize = getBufferSize();
	boolean requiresFlush = bufferSize > 0 && this.contentWritten >= bufferSize;
	if (isBodyFullyWritten || requiresFlush) {
		doOnResponseCommitted();
	}
}

可以看到这里是按 json的length()去计算,计算出来contentLengthToWrite是69。

而bufferSize默认是取Response的缓冲区,大小大概是8000多。

那么checkContentLength永远都不会触发 doOnResponseCommitted(), 那么就无法正常写出cookie。

 

而如果把JSON串中的中文去掉或者改为英文,发现一切都正常了!!!

 

这应该算是spring-session的一个缺陷吧?

 

 

 

 

 

 

 

 

苦作舟
关注
专栏目录
struts2+springsecurity+spring-session-data-redis使用redis存储session
feinifi的博客
03-21 1894
springsecurity做权限验证,采用默认的session管理,在系统重新部署启动之后,之前登录的用户session无法被保存,需要用户重新登录,这里使用redis来做session存储,系统重启之后,session还在,无需重新登录。 使用redissession存储,本身配置比较简单,但是这里和struts2结合,就需要注意。 springSessionRepositoryFilt...
道路和航线--Dijkstra+拓扑排序(巨坑
小元勋的博客
07-31 497
Loj 10081 题目分析: 由于这题专卡SPFASPFASPFA,已死。 考虑到负权边,两点之间只有一条,故将双向边建图后,维护处连通块缩点,在建负权边,图为DAGDAGDAG 在缩点图上跑拓扑排序,连通块内部跑DijkstraDijkstraDijkstra,就能维护处最短路d[i]d[i]d[i] 巨坑细节:d[i]d[i]d[i]要初始化为0x7f0x7f0x7f,而当d[i]&am...
spring+struts2集成spring-session注意问题
喔易
03-01 1530
项目采用spring+struts2+hibernate,为了解决单点故障问题,现在需要做集群部署,解决的第一个问题session共享。为了方便简单于是采用了spring-session,项目原来已经集成了redis,所以在配置上,只需要加入spring-session相关即可。不过这里涉及到放置位置问题,顺序搞错了,spring-session无法起作用了。个人也放错过,所以在...
java无法写入cookie_Spring Boot无法写出Cookie
weixin_39556853的博客
03-02 779
问题描述在使用了前后端分离、Spring Security和Spring SessionSpring Boot后端项目(Undertow作为web容器)后,当返回的body包含了中文且大于15KB时(不确定是否是这个原因),返回的response header里没有Set-Cookie字段,导致前端无法保存SESSION。发现问题在Spring Security的onAuthentication...
Spring集成struts2
weixin_30924239的博客
06-21 122
Spring集成struts2 根据Spring官方文档介绍,使用Struts的Spring Plugin 插件进行对Spring 集成 http://docs.spring.io/spring/docs/current/spring-framework-reference/htmlsingle/#struts Struts集成Spring的官方文档介绍http://stru...
Struts2+Spring整合 火推04 session struts2组件列表 Interceptor拦截器
01-10 159
day04 登录使用session struts2session获取支持两种方式,httpSessionSessionMap 导包: <dependency> <groupId>javax.servlet</groupId&...
Laravel5.2使用Captcha生成验证码实现登录(session巨坑
10-18
接下来,会涉及到验证码的生成与存储机制,特别是session的特殊处理方式,因为Laravel在5.2版本中存在session使用上的“巨坑”。以下将详细分析这些知识点。 首先,Laravel是一个为Web开发提供的高级PHP框架,它...
Nuxt+vue3+Element-plus+TypeScript
weixin_44208404的博客
08-08 1227
进公司实习一段时间了,想用学到的东西进行独立开发,踩坑不少,做个总结。
详解struts-2.3.32的配置(巨坑
Yiyuan_chen的博客
04-12 5371
这几天被这个struts的配置问题搞得我晕头转向,因为网上自己找了几个学习struts2的视频可是,再次提醒,由于一些视屏比较落后,可是现在struts2又是更新到了2.5了,所以难免有很多描述的有出路,这对于初学者而言,真的是一个大坑,下面是我配置的struts-2.3.32的过程,希望能让大家避免一些错误。 我没有选择最新的,因为有时候,遇到的问题,可能连网上都还没有人提问,所以给学习过程带
Struts 2 + Spring + Hibernate集成示例
一名可爱的技术搬运工
05-21 263
下载它– Struts2-Spring-Hibernate-Integration-Example.zip 在本教程中,它显示了“ Struts2 + Spring + Hibernate ”之间的集成。 在继续之前,请确保检查以下教程。 Struts 2 + Hibernate集成示例 Struts 2 + Spring集成示例 Struts 1.x + Spring + H...
使用redis管理对象缓存,可代替session
08-12
NULL 博文链接:https://godsend-jin.iteye.com/blog/2268499
Spring+Struts2+hibernate+Redis整合
12-02
SSH+Redis整合
SpringStruts2 整合 特别需要关注Session 关闭的问题:解决方法是使用 OpenSessionInViewFilter
奔跑在路上
02-19 700
spring为我们解决hibernate的Session的关闭与开启问题。  Hibernate 允许对关联对象、属性进行延迟加载,但是必须保证延迟加载的操作限于同一个 Hibernate Session 范围之内进行。如果 Service 层返回一个启用了延迟加载功能的领域对象给 Web 层,当 Web 层访问到那些需要延迟加载的数据时,由于加载领域对象的 Hibernate Se
解决cookie无法写入的问题
dianemax
06-06 1万+
文章目录1 问题分析2 跟踪CookieUtils3 解决host地址的变化4 网关的反向代理5 Host写入问题5.1 网关写入Host5.2 敏感头过滤导致cookie没有写入5.3 防止过滤器过滤Host6 Zuul的敏感头过滤 接上一篇鉴权微服务中间留下的问题,专门来分析解决一下这个问题,首先我们登录,然后查看cookie: 却发现cookie中空空如也,这是为什么? 1 问题分析 我...
SpringSession的源码解析(生成session,保存session,写入cookie全流程分析)
码农飞哥
04-12 5244
本文按照代码运行的顺序,一步步分析了session的创建,保存到redis,将sessionid交由cookie托管的过程。分析完源码之后,我们知道了session的创建和保存到redis主要是由RedisOperationsSessionRepository类来完成。将sessionid交由cookie托管主要是由DefaultCookieSerializer类来完成,下一篇我们将介绍读取session的过程。
社区Web 开发帖子详情Springboot+thymeleaf出现模板无法解析的问题,求助!!!
qq_45683753的博客
06-30 1192
2022-06-30 16:35:51.199 ERROR 13976 --- [nio-8080-exec-3] org.thymeleaf.TemplateEngine : [THYMELEAF][http-nio-8080-exec-3] Exception processing template "/view/clientList/clientListForUser": An error happened during template renderingorg.thymel
java session基于redis共享方案
pingnanlee的专栏
03-29 1万+
session基于redis共享有两种基本的方案 1、基于容器自身的扩展,比如tomcat的session-manage,可以参考如下 地址进行配置https://github.com/jcoleman/tomcat-redis-session-manager 这个方案只适用tomcat容器,而且容器需要配置,这里不具体展开,有需要的可以参考上面的地址进行配置。但是这个方案有一个好处,可以适用
好好了解一下Cookie(强烈推荐)
热门推荐
尘埃亦非尘
08-28 14万+
Cookie是由服务器端生成,发送给User-Agent,浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器,对cookie知识感兴趣的朋友一起学习吧 Cookie的诞生 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比
java序列化kr_巨坑:ElasticSearch 无法解析序列化的 GeoPoint 字段
最新发布
05-17
在Elasticsearch中,GeoPoint字段是一个表示地理位置的复合类型字段,由两个子字段组成:lat(纬度)和lon(经度)。由于Java序列化不会序列化类的元数据,因此在反序列化时,Elasticsearch无法识别GeoPoint字段。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值