Session神奇的过期

最新推荐文章于 2024-11-12 21:14:07 发布
最新推荐文章于 2024-11-12 21:14:07 发布
阅读量96 收藏
点赞数
文章标签: java php
原文链接:https://segmentfault.com/a/1190000014846170
版权

初衷&缘起

最近在构思一件事情,使用spring-boot + spring-security+oauth实现授权的demo;
要测试,动手敲代码最实际,但是,思考也是不能少的,否则也只是复制粘贴代码。

测试oauth的第一步,肯定是先弄明白怎么请求授权服务器,怎么拿到code再拿到token。
所以第一步是创建一个能使用的“client”。通过对比,微博开放平台会相对简单点,因为微信有环境的限制。

在阅读微博开放平台的登录授权接口时,发现要填写一个授权的回调url。
那么疑问就来了:
如果我的“client”应用是一个类似公众号的
比如:有多个菜单,点击跳到不同的页面,而这些页面都需要先登录微博授权
限制:用户点击登录授权之后,回调的url是同一个
结果:那不管点击那个菜单,最后都是跳到回调的页面,多个菜单就形同虚设了

请求过程分析

请注意,这里不是分析如何授权登录,而是授权成功时,如何跳到所点击的入口(菜单)

假设(静默授权,就是不需要用户点击确认):

  • 我们的应用(client)的域名是:web.client.com
  • client中有一个菜单是:web.client.com/ha
  • client中有个回调地址:web.client.com/receive
  • 微博开发平台的域名是:oauth.server.com
  • 微博确认授权接口地址是:oauth.server.com/test

过程:

  • 访问client的任意菜单(web.client.com/ha)
  • client发现需要登录微博授权,将用户重定向到oauth.server.com/test
  • 微博确认了用户信息,把用户重定向到web.client.com/receive,并带上code
  • client接收到code,并且可以通过code拿到token并暂存。

问题在于:最后一步,拿到code再拿到token后,如何跳到我们所点击的入口(菜单)

猜测&实验:session能否实现?

猜测思路

session存放我们所点击的入口(菜单),在接收code的回调接口中,在把用户重定向到我们所点击的入口菜单。

实验代码

host配置两个站点

127.0.0.1 oauth.server.com
127.0.0.1 web.client.com

web.client.com接口

package com.lgh.demo.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@Controller
public class IndexController {

    @RequestMapping("/ha")
    public String index(HttpServletRequest request, HttpServletResponse response, HttpSession session) throws Exception {
        System.out.println("/ha 请求,redirect:http://oauth.server.com/test");
        System.out.println(session.getId());
        System.out.println(request.getRequestURL());
        session.setAttribute("entrance", request.getRequestURL());
        return "redirect:http://oauth.server.com/test";
    }

    @RequestMapping("ha2")
    public String index2(HttpServletRequest request, HttpServletResponse response, HttpSession session) throws Exception {
        System.out.println("/ha2 请求,redirect:http://oauth.server.com/test");
        System.out.println(session.getId());
        System.out.println(request.getRequestURL());
        session.setAttribute("entrance", request.getRequestURL());
        return "redirect:http://oauth.server.com/test";
    }

    @RequestMapping("/receive")
    public String receive(HttpServletRequest request, HttpServletResponse response, HttpSession session) {
        System.out.println("/receive请求, 返回haha.jsp");
        System.out.println(session.getId());
        System.out.println("code = " + request.getParameter("code"));
        System.out.println("入口地址:" + session.getAttribute("entrance"));
        return "haha";
    }
}

oauth.server.com接口(php)

<?php
session_start();
$code = rand(10000, 99999);
header("Location: http://web.client.com:8080/receive?code=$code");
exit;
?>

实验结果

第一次:web.client.com:8080/ha
图片描述

第二次:web.client.com:8080/ha2
clipboard.png

注意在测试两个接口的中间,要彻底关闭浏览器,否则拿到的session是没变的

再来思考下session的过期和时效

  • 过期:一般会有默认的过期时间,是由服务器的默认配置的。
  • 失效:一般都是浏览会话结束时失效(浏览会话结束是指:浏览器彻底关掉所有的tab,一个不留,有一个没关,浏览会话都没结束)

脑残测试

条件

  • 把client的两个接口都设置session的过期时间:session.setMaxInactiveInterval(2);
  • server接口中,添加睡眠代码:sleep(10);

结果

由于session都过期了,server才返回code,此时拿到的session自然没有东西啦
clipboard.png

延伸思考:

多次访问不同入口

如果真的是多个菜单的场景,会存在一种情况:我点了一个菜单,退出来,再点第二个菜单,session存的入口菜单就会覆盖,这种情况会不会有问题?

分析:
不同时刻关闭重新点击菜单,造成的影响会有点点不一样
如果我们在拿到token之后,在session里存放用户的标志字段,在其他入口地址根据是否存在用户的标志字段来判断是否需要重新认证,就没问题了。

weixin_33774615
关注
设置session过期时间
code_monkey的博客
01-04 1202
人工智能,零基础入门!http://www.captainbed.net/inner 通过代码设置方式,其中60表示60秒: @RequestMapping("/login") @ResponseBody public Object login(HttpServletRequest request){ HttpSession session = request.getSessi...
Session过期
热门推荐
小太阳~
01-25 1万+
1. Session过期的定义: Session:在计算机中,尤其是在网络应用中,称为“会话”。​在计算机专业术语中,Session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。具体到Web中的Session指的就是用户在浏览某个网站,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间,即在规定的时间内无请求操作,即为
深入理解session过期机制
qi_ruihua的专栏
07-14 1万+
首先得明白:session过期时间由两方面决定的;   1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)   2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟  ok,现在详细阐述上述两
SpringSession
呜呼哈
11-06 6792
在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。为什么要spring-session比较traditional-session方案和spring-session方案JSR340规范与spring-session的透明继承spring-session提供集群环境下HttpSession的透明集成。spring-session的优势在于开箱即用,具有较强的设计模式。
spring-session
qq_33557034的博客
03-08 169
在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。主要从以下三个方面进行热脑: 1.为什么要spring-session 2.比较traditional-session方案和spring-session方案 3.JSR340规范与spring-session的透明继承 一.为什么要spring-session 在传统单机web应用中,一般使用tomcat/jetty等we...
探秘Session跨页面传递数据的神奇力量
weixin_52533007的博客
07-17 1695
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!Session 就一个接口(HttpSession)。Session 就是会话。它是用来维护一个客户端和服务器之间关联的一种技术。每个客户端都有自己的一个 Session 会话Session 会话中,我们经常用来保存用户登录之后的信息。
javasession 请求_JavaWeb请求与响应 Cookie&Session
weixin_39686048的博客
02-28 772
请求行:①是请求方法,GET和POST是最常见的HTTP方法,除此以外还包括DELETE、HEAD、OPTIONS、PUT、TRACE。②为请求对应的URL地址,它和报文头的Host属性组成完整的请求URL。③是协议名称及版本号。请求头:④是HTTP的报文头,报文头包含若干个属性,格式为“属性名:属性值”,服务端据此获取客户端的信息。与缓存相关的规则信息,均包含在header中请求体:⑤是报文体,...
spring-session(一)揭秘
gaohe7091的专栏
06-04 369
出处:https://www.cnblogs.com/lxyit/p/9672097.html 前言 在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。主要从以下三个方面进行热脑: 为什么要spring-session 比较traditional-session方案和spring-session方案 JSR340规范与spring-session的透明继承 一....
Cookie和Session原理浅析
qq_51504836的博客
05-03 342
Cookie和Session
使用SpringSession管理分布式会话遇到的反序列化问题
javarrr的博客
05-15 505
问题浮现 我们在使用SpringSession(其实在问题出现,我们并没有意识到和这儿有关联),遇到了一个隐藏较深的问题。我们像往常一样,在用户登录成功之后,将用户的实体类信息实例化保存到了session中,且session最后保存到了redis里面,这个过程其实是没有什么问题的。 随着时间的推移业务的迭代变化,用户实体需要为更新的需求增加额外的字段,于是我们顺其自然的在类中追加其他Str...
day57-58 cookie and session and 作业布置
gaosong0623的博客
01-02 142
cookie是什么?cookie是保存在客户端游览器的一些键值对。可以利用他来做登录,一般是登录后,服务端给客户端设置的cookie, cookie 一个神奇的地方,谁来登录我,登录成功了,我就把你的登录状态存在你的cookie里,cookie保存在用户的游览器上,你下次再来的候携带着你的cookie信息服务器端就会认识你。 为什么要用cookie呢?因为HTTP是短链接,是无状态的,...
数据库优化调优终极秘籍:从卡顿到飞驰,只因这些神奇技巧!
dream317
04-22 1058
数据库优化和调优是确保数据库系统高效、稳定运行的关键步骤。优化可以从多个维度进行,包括硬件优化、数据库设计优化、查询优化、索引优化、存储过程优化、缓存策略优化等。
日常bug记录,easyexcel导入报错convert data ... to class java.math.BigDecimal error
mm
11-11 200
排查发现实体类中有BigDecimal属性,然而数据中这个属性为null,进行转换报错。在实体类上加上自定义转换器。解决方法:自定义转换器类。
1112--接口
最新发布
kequanrrr的博客
11-12 139
interface + 接口名{ }。。。。implements 接口名{ }接口接口中的抽象方法可以省略 abstract 关键字使用:要实现接口中的所有 抽象方法隐含三个修饰符:public+static+final2.单继承 多接口
SpringBoot 实现图片加水印
心猿意码
11-11 306
通过上述步骤,我们可以在SpringBoot项目中实现一个简单的图片加水印功能。当然,实际应用中可能需要更复杂的水印处理,比如水印图片、调整水印位置等,可以根据需求进行相应的扩展和优化。
刷题---顺序表算法题
weixin_63997543的博客
11-11 383
顺序算法题----力扣刷题
JAVA-01-变量
LJH_laura_li的博客
11-08 479
在方法、构造函数或块内部定义的变量。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 310
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此最优元素值为0。第 2 行为每个充电设备的输出功率。
Java Web:设置与监听Session过期时间
"session过期时间设置" 在Web应用程序中,`session` 是用来跟踪用户状态的一种机制。每个用户在与服务器交互会被分配一个唯一的session ID,通过这个ID,服务器能够识别并关联用户的特定信息。然而,为了保护系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值