记一次Session跨域问题

已于 2022-03-01 11:18:52 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: Java 文章标签: java
于 2022-03-01 11:17:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pjx827480541/article/details/123199468
版权

背景:网站域名:aa.abc.com,客户有需求,需要定制专属域名,如:kehu.abc.com。

项目介绍:前后端未分离的项目,登录授权是使用的shiro做的,页面是使用JSP写的。登录成功后,会将获取到的token写入cookie,接口有拦截器处理,shiro是未登录态时,会尝试使用cookie来登录,实现单点登录。

方案:申请专属域名,使用Nginx映射到网站域名上;后台服务也做了处理,如果登录用户判断有专属域名,则直接重定向到专属域名上,否则使用网站域名。逻辑很简单,流程如下,其他跳转页面的接口同理。

问题:当专属域名和网站域名,来回使用专属域名客户账号和普通账号登录时,发生了用户信息混乱的问题,排查下来是session跨域导致信息不同步。

具体复现步骤(账号:普通账号A,专属账号B):

解决思路:

1、修改cookie中sessionId的名称和域

当时想着是sessionId对应的域是完整的域名,想改成可适配二级域名的域,如csdn这样,就可以解决跨域的问题了

 尝试修改shiro的域名和域配置,没有生效,sessionId应该不是shiro生成的,看源码shiro生成的sessionId名称应该是 JSESSIONID

而我们网站上生成的sessionId名称是SESSION,也不像是tomcat生成的,应该是spring-session生成的,具体源码没去跟踪,问题需要赶紧修复,就没去确认session由谁生成的了,有知道的小伙伴可以告知一下。

2、使用redis记录登录态

1. 登录成功后,使用redis记录登录态;2.退出时,清理登录态;3.拦截器拦截请求,如果shiro判断为登录态,则再去redis判断是否登录态,不是,则shiro做退出处理(清理服务端的session信息),继续尝试使用token登录; 如果redis也是登录态,则继续下一过滤器处理。这种情况下保证了多域名下,同一账号登录态保持一致。

3、如果有其他更好的解决方案,欢迎提出来!

彭小虾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session 跨域问题
dadashitou的博客
06-03 419
采用这种方式,跨域不行,但同一子域可以,如:aaa.cocoglp.com 和www.cocoglp.com 都属于域 .cocoglp.com是可以的,那么我们就可以设置 COOKIE 的域为 .cocoglp.com,这样 aaa.cocoglp.com、www.cocoglp.com等等都可以访问此COOKIE。1.只要在php页面的最开始(要在任何输出之前,并且在session_start()之前)的地方进行以下设置ini_set('session.cookie_path', '/');
java跨域单点登录实现
01-28
Java跨域单点登录(Single Sign-On,SSO)实现是一项关键的系统集成技术,它允许用户在多个应用系统中只需登录一次,就能访问所有相互信任的应用系统,无需再次进行身份验证。本项目代码着重展示了如何在Java环境中...
SSM+Vue中的session跨域问题
坏蛋阿土的博客
09-24 7057
在使用SSM作为后端框架,VUE作为前端框架的时候,需要知道是谁登录了,但是这两个一个在8081端口一个在8088端口,需要解决跨域问题,否则登录时的session就没了,vue与ssm连接使用的是Axios访问ssm的接口。
请求跨域,Session不共享?你遇到过吗?
gjb760662328的博客
02-20 680
这个原因来自于浏览器的同源策略安全限制, 同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。当我们使用ajax或者axios进行http访问时,非同源内容就会出现跨域请求问题。
服务跨域以及Session保持问题
热门推荐
zhaoenweiex的博客
09-03 1万+
前言随着前后端分离以及微服务的应用越来越广,跨域与session保持问题已经是大家所熟知的问题,由于项目需要本周进行了相应资料的调研和测试,最终在客户端,前台,代理,服务端等多个层面上共同解决了这个问题,特别在此录一下,希望能帮助大家。跨域来自于浏览器的安全基石,即”同源政策”(same-origin policy)。
session跨域问题
Andanc的博客
02-29 501
最近在进行前后端分离跨域访问的时候,发现session一下子不管用了,不管怎么获取都是报null。苦解了很久,终于找到了解决方案。 先是在后台的控制层里加上了注解@CrossOrigin,解决了跨域,但是发现还是不管用,跨域的问题是解决了,但是session却不能共享,找来找去,才get到原来是两个协议头什么的乱七八糟导致的,最终后端加上 但是,还没有完全结束,这个虽然弄好了,但是前段ajax也...
跨域时取不到session
guomao1995的博客
01-30 7228
一、问题 今天在一个跨域请求的项目中,需要存储提个session为后续的操作做一个判断依据: //设置 request.getSession().setAttribute("name", "存储值"); //获取 request.getSession().getAttribute("name")结果获取到的都是null,查阅了相关资料,才了解到这是因为当使用ajax进行跨域时,每一服务器都
java Session cookie
08-07
为了解决这个问题,Session和Cookie应运而生,而Session Cookie是其中的一种方式。 **什么是Cookie?** Cookie是由服务器端发送到客户端(浏览器)的一小段信息,存储在用户的本地设备上。当客户端发起新的请求时,...
session和cookies的定义用法
01-13
echo "您好,第一次访问本网站 "; } else { echo "感谢您再次光临本网站!"; } ``` - **生命周期与清除**:未设置过期时间的Cookie默认在浏览器关闭后删除;设置过期时间后,Cookie会存储在硬盘上,直到过期。要...
一个账号同一时间只能登录一次
01-17
5. **跨域问题**:如果Web应用有多个子域名或者前端使用了不同的源,还需要考虑跨域会话管理,可能需要用到如JWT(JSON Web Token)或者基于Cookie的解决方案。 6. **数据库交互**:为了录登录状态,通常需要与...
使用SessionListener+持久化Session+Springmvc拦截器实现单点登录
10-24
单点登录(Single Sign-On,简称SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。在这个过程中,`SessionListener`、持久化`Session`和`Springmvc拦截器`是关键组件,让...
java+vue跨域每次请求获取不同session问题
码农记事本
12-23 549
描述 vue在做登录的时候,明明已经把用户数据存入了httpsession中,但在后面的请求拦截中发现获取的session属性size为0 断点发现登录用的session和拦截得到的session不是一个id,也就是说不是同一个session 查资源得到解决办法 java端 import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest
java 跨域session_解决跨域session 同步问题
weixin_33622153的博客
02-15 829
跨域来源:(前端站点和后端API布署到不同的站点)解决方案一.服务端设置1.配置允许跨域请求public classBaseAction {/*** 支持跨域请求*@authorfxd*@paramresponse*@sinceJDK 1.6*/protected voidcrossComain(HttpServletRequest request,HttpServletResponse resp...
java session跨域_springsession跨域详解,实践实例
weixin_32557949的博客
02-16 533
下面的内容要给大家讲到的就是springsession跨域方面的问题,一起来详细的了解一下springsession跨域方面的内容吧。问题:在上面的架构当中,客户端发起了一个请求,在这个请求到达了nginx上面之后,就被Nginx转达到了Tomcat A上面,之后,在TomcatA上面往Session当中保存了一份数据,之后,再来一个请求,这个请求就被转发到了TomcatB上面,这个时候,再去Se...
java 跨域 保存session_前后端分离项目的跨域及保持Session会话
weixin_39955781的博客
02-13 777
当Web项目前后端分离开发的时候, 由于域名不一致, 会出现无法请求和无法维持会话的情况OPTIONS在前端Ajax请求后台的时候, 打开控制台可以看到, 每一次请求之前都会有一次OPTIONS类型的请求OPTIONS称为预检请求, 通过这个请求,浏览器会告知服务器,接下来的请求的情况Access-Control-Request-Method: POSTAccess-Control-Reques...
JSON Web Token 入门教程
weixin_34067102的博客
07-24 932
2019独角兽企业重金招聘Python工程师标准>>> ...
cookie和session
weixin_69282446的博客
05-24 602
Cookie Cookie是po;由服务器端生成,发送给浏览器,浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时自动发送该Cookie给服务器 Cookie可以用来在某个WEB站点会话间持久的保持状态 Session Session是另一种录客户状态的机制,基于Cookie实现,客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式录在服务器上,这就是Session,客户端浏览器再次访问时只需要从Session中查找该客户的状态就可以了 区别与联系 Cook
springboot跨域全局配置
ITzhongzi的博客
12-26 882
核心代码 package com.itzhongzi.videoedu.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframew...
两种session跨域问题
Kaaaakaki的博客
07-23 199
226集 * 两种session跨域问题 : * 1、 同一个域名 多台服务器 原来session只存在运行的这一台上 * 如果这个请求去了另一个服务器 就拿不到session了 * 解决: 用一个统一的地方 比如 redis 来存所有服务器的session * * 2. 域名不同 相当于 拿着农行的卡(sessionID) 去了 工商银行(服务器) 就拿不到对应的session * 解决:发session的时候 扩大session的作用域 auth.testmall.
谷歌iframe跨域问题session失效
最新发布
08-09
当谷歌浏览器中的iframe出现跨域问题时,其中一个可能的影响是会导致session失效。Session是一种在服务器端保存用户状态的机制,而跨域的操作会让浏览器无法正确传递session信息或者将session信息视为不安全而拒绝...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值