前后端分离验证码存储,session处理

最新推荐文章于 2023-02-07 08:23:02 发布
最新推荐文章于 2023-02-07 08:23:02 发布
阅读量4.2k 收藏 17
点赞数 5
分类专栏: spring boot session 文章标签: session cookie springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43165220/article/details/115558155
版权

问题描述

前后端分离,验证码存储到session中,postman测试可以获取到session中的验证码,但是在另一台电脑上获取session中的验证码却始终为null,试了各种跨域、携带cookie都不管用。

前言

一个之前完成的项目说要加些新需求要我们做,我们肯定不能拒绝啊,开干。

打开项目,运行,浏览器输入地址,输入用户名、密码、验证码,点击登录,???验证码已失效???啥情况?断点一看,好家伙,获取存储在session中的验证码一直是null,再将存储验证码的session和登录时从请求获取的session一对比,根本不是同一个session,它就一直在变!然后我自己在postman中测试是没有问题的。

哦,懂了,是前后端分离跨域的问题,设置好后,再试,还是不行!设置允许携带cookie,再试,依旧不行。。。

百度找了好久前后端分离session处理,网上大部分都是说前端请求加上withCredentials: true ,后端在拦截器或过滤器设置

response.setHeader("Access-Control-Allow-Origin",request.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With, Content-Type, Accept,token");
response.setHeader("Access-Control-Allow-Credentials","true");

但是不行。就很奇怪,之前都没这种问题啊,怎么这次代码都没改过,就会有这种问题?

因为这个项目一开始是别人已经做好的,然后给我们公司修改一些细节,bug之类的,然后整个项目也没用shiro和redis。权限控制,存储信息也都是用session的,然后我想过用redis来存储验证码吧,但是用redis的话,要改挺多配置的,挺麻烦的,而且这个项目本来就挺乱的,就放弃了。

暂时找不到什么好的办法,就只能先将验证码验证去掉,因为甲方部署这个项目是将前端后端都部署到一台机器的,也不存在跨域问题,所以我们自己这边测试的话,就先不用验证码了。

这个项目分为app端登录和web端登录,它app端登录是将token存储到数据库中,每次请求都是根据token去数据库查询这个token是否过期。web端则是将token存储到session中,结果可想而知,web端登录进去后,好多请求都报权限不足的错误。后面干脆把web端也和app端一样,都将token存储到数据库中,就不用session了,权限问题得以解决。

后面我就想,能不能也让验证码的session像token一样,保存。登录的时候,将这个sessionid直接设置到请求头中,那样应该可以吧?仔细想了下,感觉可行,那么这样的话,问题就主要在如何根据sessionid来获取session。

解决

1、SessionContextUtils 用于获取session

import javax.servlet.http.HttpSession;
import java.util.HashMap;

/**
 * SessionContext用于获取session
 * 根据sessionId获取session
 */
public class SessionContextUtils {
    private static SessionContextUtils instance;
    private HashMap<String, HttpSession> sessionMap;

    private SessionContextUtils() {
        sessionMap = new HashMap<String,HttpSession>();
    }

    public static SessionContextUtils getInstance() {
        if (instance == null) {
            instance = new SessionContextUtils();
        }
        return instance;
    }

    public synchronized void addSession(HttpSession session) {
        if (session != null) {
            sessionMap.put(session.getId(), session);
        }
    }

    public synchronized void delSession(HttpSession session) {
        if (session != null) {
            sessionMap.remove(session.getId());
        }
    }

    public synchronized HttpSession getSession(String sessionID) {
        if (sessionID == null) {
            return null;
        }
        return sessionMap.get(sessionID);
    }
}

2、SessionListener 用于监听session

import com.utils.SessionContextUtils;

import javax.servlet.annotation.WebListener;
import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

/**
 * 监听session
 */
@WebListener
public class SessionListener implements HttpSessionListener {

    private SessionContextUtils sessionContext= SessionContextUtils.getInstance();

    @Override
    public void sessionCreated(HttpSessionEvent httpSessionEvent) {
        HttpSession session = httpSessionEvent.getSession();
        sessionContext.addSession(session);
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {
        HttpSession session = httpSessionEvent.getSession();
        sessionContext.delSession(session);
    }
}

3、在启动类加上@ServletComponentScan注解

4、验证码生成

@ResponseBody
@GetMapping(value = "/get/code")
public JSONObject getCode(HttpServletRequest request, HttpServletResponse response) {
    try {
        response.setHeader("Pragma", "No-cache");
        response.setHeader("Cache-Control", "no-cache");
        response.setDateHeader("Expires", 0);
        response.setContentType("image/jpeg");

        // 生成随机字串(VerifyCodeUtils验证码生成工具类就不贴出来了,网上随便一找好多的)
        String verifyCode = VerifyCodeUtils.generateVerifyCode(4);
        // 存入会话session
        HttpSession session = request.getSession(true);
        // 删除以前的
        session.removeAttribute("verCode");
        session.removeAttribute("codeTime");
        session.setAttribute("verCode", verifyCode.toLowerCase());
        session.setAttribute("codeTime", LocalDateTime.now());
        // 生成图片
        int w = 200, h = 50;
        ByteArrayOutputStream stream = new ByteArrayOutputStream();
        //注意,这里是将生成的图片转为base64的格式将返回给前端,而不是直接给张图片的地址。
        //这样获取验证码就是一个请求,而不是一张图片的地址,因为是一个请求,所以我们可以返回sessionid给前端。
        VerifyCodeUtils.outputImage(w, h, stream, verifyCode);
        try{
            String encode = Base64.encode(stream.toByteArray());
            Map<String,Object> map = new HashMap<>();
            map.put("img","data:image/png;base64,"+ encode);
            //返回sessionid给前端,前端只需要在调用登录接口的时候将这个sessionid设置到请求头中即可
            map.put("sessionId",session.getId());
            return success(map,"");
        }catch (Exception e){

        }finally{
            stream.close();
        }
    } catch (Exception e) {
        System.out.println("验证码获取错误");
    }
    return failure("");
}

5、登录接口

@ResponseBody
@RequestMapping(value = "/login", method = RequestMethod.POST)
public JSONObject login(@NotBlank(message = "用户名不能为空") String username, @NotBlank(message = "密码不能为空") String password,String code, HttpServletRequest request) {

    Map<String, Object> data = new HashMap<>();
    //获取请求头中的sessionId,然后根据sessionId来获取session
    String sessionId = request.getHeader("sessionId");
    SessionContextUtils sessionContext= SessionContextUtils.getInstance();
    HttpSession session = sessionContext.getSession(sessionId);
    // 验证码
    Object verCode = session.getAttribute("verCode");
    if (null == verCode) {
        data.put("msg", "验证码已失效,请重新输入");
        data.put("type", 3);
        return failure(data);
    }

    String verCodeStr = verCode.toString();
    LocalDateTime localDateTime = (LocalDateTime) session.getAttribute("codeTime");
    ZoneId zoneId = ZoneId.systemDefault();
    ZonedDateTime zdt = localDateTime.atZone(zoneId);
    Date codeDateTime = Date.from(zdt.toInstant());

    if (verCodeStr == null || StringUtils.isEmpty(code) || !verCodeStr.equalsIgnoreCase(code)) {
        data.put("msg", "验证码错误");
        data.put("type", 3);
        return failure(data);
    } else if (((System.currentTimeMillis()) - (codeDateTime.getTime())) > (1 * 60 * 1000)) {
        data.put("msg", "验证码已过期,请重新输入");
        data.put("type", 3);
        return failure(data);
    } else {
        //验证成功,删除存储的验证码
        session.removeAttribute("verCode");
        session.removeAttribute("codeTime");
    }

    //省略其他代码
    return success(map, "登录成功");
}

大功告成,重启项目,测试,可以了,无论是postman还是另一台电脑测试都没问题。

符华-
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
验证码以及Cookie和Session机制
KevinChen
10-10 6614
1、验证码的作用防止机器暴力破解用户名和密码(或者是其他可以多次提交的表单)。因此为了安全起见,通常验证码的验证并不会交由前来进行,而是由后来进行检验。同时验证码的样子也会尽量千奇百怪,让机器不能够识别。2、验证码的机制前:前网页通过一个URL来对后进行请求,通常会给这个请求带上一个时间戳或者是随机数。 后:接收到前的request,后会先生成一个随机数(通常4位),然后把该随机数
解决前后分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后分离的架构中,Vue.js作为前框架与Spring Boot作为后服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
图片验证码(遇到集群session验证失败的解决方法)
杀神Jack的博客
11-07 1524
前两天新项目,做了一个关于图片验证码的功能,其实思路什么很简单,就是直接调用接口,给前输出图片流。在输出流的时候,把验证码给存到session中去,然后验证的时候,在从session中取值。从而进行验证验证码是否正确。如果是单一的服务器的话是没问题的,但是遇到了集群的话,可能就会出错了。因为一个域名是随机面对的一个服务器的ip,然后你进行图片验证的时候,每次ajax进行的请求,服务器会认为是新的一次请求(前后分离也是这个问题),然后新的一次请求,取到的验证码肯定就不对了,下面说一下解决方法。 解决方法
遇到验证码后台session中不能使用的问题,那是因为跨域导致cookie不能成功写入和携带,解决问题的办法
zhangyizuishuai的博客
11-11 1457
跨域set-cookie无效的解决方案 上次在项目中做一个手机验证码功能时遇到后set-cookie无法成功的问题,相信很多人都会遇到,今天分享出来,算是做个记录,也给有需要的小伙伴一个参考,下面先说一下场景 手机验证码实现步骤 用户输入手机号并点击发送验证码按钮 此时是向后服务器发起高请求,传递手机号码 后接收到手机号码后通过短信服务商的接口发送短信到手机号 由于安全性问题,一般服务商的接口都是由后发起请求,那验证码是怎么来的呢?当然是我们自己后生成的(一般是生产一个4位或6位随机数字号码),短
Springboot+vue 前后分离登录验证码功能
qq_43649937的博客
12-22 2515
Springboot vue
jsp 验证码 保存到session中 第一次登录失败问题
华子的专栏
10-21 862
项目中验证码的实现思路:登录页面 调用 jsp页面 生成验证码图片 并把验证码保存到 session中 用户登录的controller 中 把用户输入的验证码和 session中取出的验证码 进行比较 ,相同则验证码输入正确。 测试中出现一个bug ,bug描述:IE浏览器下 用户第一次登录 总是显示 验证码错误  登录失败,除第一次外都能登录成功。登录成功后 退出,再次登录没问题。直接关闭...
Python基于Flask框架前后分离实现房屋租赁民宿预订平台+源代码+文档说明+数据库.zip
最新发布
12-16
Python基于Flask框架前后分离实现房屋租赁民宿预订平台毕业源码案例设计 技术环境: PyCharm + Flask + Python2.7或Python3.6 + Redis + mysql 技术简介:采用Python环境和Flask框架实现的一个爱家租房平台,整个...
javascript 利用ajax获取验证码内容和session
06-22
在IT领域,尤其是在Web开发中,JavaScript是一种必不可少的前编程...对于初学者,理解并熟练掌握JavaScript、AJAX以及Session的使用是Web开发的基本功,也是进一步学习更复杂技术(如前后分离、SPA应用等)的基础。
PHP学生考试管理系统前后
06-07
【PHP学生考试管理系统前后】...通过前后分离,提高了用户体验和安全性。同时,合理的目录结构和文件组织,便于代码的维护和扩展。开发者可能还运用了MVC(模型-视图-控制器)架构模式,使得代码更加清晰和模块化。
.NET MVC C# 仿12306验证
03-20
- **使用Session存储验证码**:为了防止重复使用验证码,可以将其存储在服务器的Session中,并在验证后清除。 - **限制验证码的生存时间**:设置验证码的有效期,过期后需要用户重新获取,增加安全性。 - **考虑性能...
前后分离---前后身份验证session和jwt)
前端与计算机相关知识的分享,博主的qq523235674
03-07 8372
一.web开发模式 目前主流的Web开发模式有两种,分别是: ①基于服务渲染的传统Web开发模式 ②基于前后分离的新型Web开发模式 1.服务器渲染的Web开发模式 服务渲染的概念:服务器发送给客户的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: 2.服务器渲染的优缺点 ①优点: 前耗时少。因为服务器负责动态生成HTML内容,浏览器只需要直接渲染页面即可。尤其是移动,更省电。 有利于
前后session同步
weixin_34384915的博客
12-30 1782
会话 传统的web开发采用的一般是会话技术,因为http是一种无状态协议,服务器要想确定不同的请求是否是由同一个用户发出,采用了会话技术,传统的web开发当中,同一个会话内的所有请求对应着同一个session(session是服务器为用户储存的文件),每个session对应一个id,当用户第一次访问时,服务器将这个session_id写入浏览器的cookie中(注意这个cookie比较特殊,一...
前后分离中的session为null的问题最全解决方法
热门推荐
zuodingquan666的博客
07-13 1万+
今天上午将一个数据存在一个方法中,再调用另外一个接口取出session中的值时,后直接给我输出了一个空值:null。 我以为是配置啥的问题,捣鼓了一上午,心态崩了,还好,在网上寻求解决办法的时候,我才发现这是由前后分离造成的。话不多说,直接上干货。 1.前后分离中的Session的状态 前言:想珍惜生命的可以直接从第二部分看起,想把session弄得明明白白的建议从这里看起。 1.1 Session是啥? session你可以理解为就是一个小型数据库(有点牵强),它可以存放用户存入的键值对的
前后分离验证码实现方案
A9541170的博客
12-02 1281
前后分离验证码实现方案 前每次加载验证码,都是一个请求,后台生成一个随机的uuid 将uuid作为key,正确验证码作为value存到redis中 前vue每次拿到响应的uuid都刷新uuid属性 当用户提交登录请求时带上这个uuid和登录信息 后台拿到uuid,取出redis中uuid对应验证码与登录验证码对比并响应 ...
跨域访问sessionID不一致导致的session为null问题
qq_43665890的博客
04-08 1857
问题 登录页面实现验证码功能,后台在生成验证码的同时,将验证码存到session中。前通过post请求登录,后台可以接收到前传来的用户名、密码、验证码的数据,但是在后验证码匹配的时候,获取的session为null。 问题详情: 1、CaptchaController中,在生成验证码的同时,将验证码存到session中。 2、前发起登录请求 3、后对前传来的验证码进行校验。 4、报错: servlet.service() for servlet [dispatcherservlet] in
请求的session为null 或 每次请求的session都不同的问题。
Xiaofeng_Lu__的博客
08-17 4504
在项目开发中,使用了session保存邮箱验证验证码,当使用swagger测试时没有问题,但是vue项目中测试的时候,明明验证码都发送成功了,也填写了发送过来的验证码,却返回“验证码未发送”。这是验证验证码的代码,返回“验证码未发送”,则可以知道,该浏览器在服务器的session为null,即传过来的sessionid为空,因为服务器要根据请求cookie中的sessionid找服务器中对应的session。可是,......
关于前后分离导致session失效取值为空的问题解决
小范的技术博客
02-07 1482
关于前后分离导致session失效取值为空的问题解决
jwt的基本使用
繁华落烬命入戏
12-22 367
文章目录介绍用途解决跨域访问的问题原理JWT 的数据结构JWT基本使用 介绍 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点是无法作废已颁布的令牌/不易应对数据过期。 用途 解决跨...
前后分离使用session
05-13
在前后分离的架构中,由于前和后的代码分别在不同的服务器上运行,因此使用传统的基于 Session 的用户认证和状态维护方法会面临一些挑战。下面介绍一些在前后分离中使用 Session 的方法: 1. Token 鉴权:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

符华-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值