账号登录后,用户不主动退出账号,在使用过程中,session/token登录信息失效,需要重新登录

已于 2023-04-03 18:09:39 修改
阅读量1.6k 收藏
点赞数
文章标签: java tomcat 分布式
于 2023-02-24 17:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44446230/article/details/129204624
版权

账号登录后,用户不主动退出账号,在使用过程中,session/token登录信息失效,需要重新登录

这个是一个线上问题,排查的过程。
在pc端,用户登录后,用户不主动退出账号,在使用过程中,有一定几率会提示需要登录信息失效。token失效的情况,

问题现象:

1、初始现象:登录后,无论是否关闭浏览器,鉴权session不定期被重置失效时间,重置时间不固定;
2、进一步排查,连接redis主节点并执行monitor后,发现对应session修改来自于sys和cms两个项目
3、具体现象:当A账号被登录,B账号登录或则注销时,有一定几率A账号的session被修改。其中登录出现的概率最大;
4、进一步缩减涉及服务范围,只部署鉴权,等少量服务,仍然存在被修改的情况;

问题解决办法:

1、检查代码,发现里面有多个拦截器和过滤器对session有更新时间操作对最后一个执行的过滤器(AuthFilter)中,完成chain.doFilter(request, response);后增加Threadlocal.remove()操作后解决问题:

chain.doFilter(request, response);
CurrentAuthUserManager.removeCurrentAuthUser();
sessionManager.removeCurrentSession();
//其中removeCurrentAuthUser()和removeCurrentSession()分别执行的是userid和sessionid的threadlocal.remove()操作

问题原因:

1、ThreadLocal源码set()/get()方法

public void set(T value) {
      Thread t = Thread.currentThread();
      ThreadLocalMap map = getMap(t);
      if (map != null)
          map.set(this, value);
      else
          createMap(t, value);
  }

  public T get() {
      Thread t = Thread.currentThread();
      ThreadLocalMap map = getMap(t);
      if (map != null) {
          ThreadLocalMap.Entry e = map.getEntry(this);
          if (e != null) {
              @SuppressWarnings("unchecked")
              T result = (T)e.value;
              return result;
          }
      }
      return setInitialValue();
  }

  ThreadLocalMap getMap(Thread t) {
      return t.threadLocals;
  }

即ThreadLocal获取的ThreadLocalMap其实都是Thread的私有成员变量,并通过ThreadLocalMap的get(key)和set(key)方式获取对应值,其中key为Thread对象。通过这种方式获取的线程的私有成员。

//Thread源码中,ThreadLocalMap为Thread成员
ThreadLocal.ThreadLocalMap threadLocals = null;

带来的问题问题是:如果Thread不销毁,那么ThreadLocal .set()的值将一直存在

2、springboot内置tomcat的线程池Springboot内置tomcat默认为线程池模式,默认线程池配置:

maxThreads:处理的最大并发请求数,默认值200
minSpareThreads:最小线程数始终保持运行,默认值10

根据minSpareThreads=10可知,在http并发低于10的时候,线程是不会被销毁的,会持续在线程池中重复使用。如果请求并发大于10,那么会创建更多线程直到200,然后在空闲一定时间会再被销毁,但是10个以内的线程将一直不会被销毁!

和第一点ThreadLocal代码综合可知:由于tomcat线程池不会销毁线程,导致10次以后ThreadLocal.get()始终未上一次该线程生效set()的值,引起逻辑异常重现示例代码: 

@RestController
@RequestMapping("/thlocal")
@Slf4j
public class ThreadLocalTest {

    private static ThreadLocal<String> thlocal = new ThreadLocal<>();

    @RequestMapping(value = "/print", method = {RequestMethod.GET, RequestMethod.POST})
    public String thlocalPrint() {
        Thread curt = Thread.currentThread();
        String rsp = "not exist";
        if (null == thlocal.get()) {
            thlocal.set(String.valueOf(DggKeyWorker.nextId()));
        } else {
            rsp = "exist:" + thlocal.get();
        }
        rsp = String.format("ThreadId:%s %s", curt.getId(), rsp);
        log.info(rsp);
        return rsp;
    }
}

对应日志

ThreadId:62 not exist
ThreadId:63 not exist
ThreadId:64 not exist
ThreadId:65 not exist
ThreadId:66 not exist
ThreadId:67 not exist
ThreadId:68 not exist
ThreadId:69 not exist
ThreadId:70 not exist
ThreadId:71 not exist
ThreadId:62 exist:7845178637774557184
ThreadId:63 exist:7845178641041920000
ThreadId:64 exist:7845178643764023296
ThreadId:65 exist:7845178645232029696
ThreadId:66 exist:7845178652232323072
ThreadId:67 exist:7845178654644047872
ThreadId:68 exist:7845178655801675776
ThreadId:69 exist:7845178657135464448
ThreadId:70 exist:7845178658607665152
ThreadId:71 exist:7845178660130197504
ThreadId:62 exist:7845178637774557184
ThreadId:63 exist:7845178641041920000
ThreadId:64 exist:7845178643764023296
ThreadId:65 exist:7845178645232029696
ThreadId:66 exist:7845178652232323072
ThreadId:67 exist:7845178654644047872
ThreadId:68 exist:7845178655801675776
ThreadId:69 exist:7845178657135464448

ThreadLocal使用建议:

使用完毕后,无论应用的线程模型如何,均执行remove()操作

weixin_44446230
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iframe框架token失效重新登陆问题
coinisi_li的博客
10-09 1516
token失效在页面内时也是走到了这一步,也就是说明这里跳转登录页是没有问题的,但页面仍然报错,这说明现在登出的只是内层,要一层一层直到最外层登出才是正确的。这时如果你用的是iframe框架的话,就会出现登录界面是嵌套在框架里面的情况,或者出现下图所示报错情况。这样,当Token失效时,页面会被重定向到最顶层,然后执行你的登录逻辑,确保了整个应用程序的正确性。在我的代码,我尝试了一下debugger,发现token失效后,当刷新整体页面时也是走到了这一步。生命周期钩子内,以便在页面加载完成后执行。
如何解决jupyter notebook用token登陆不上的情况
qq_33317456的博客
04-22 577
如何解决jupyter notebook用token登陆不上的情况
一,用户操作过程token过期了怎么续上?
Weiyatong的博客
03-20 4778
一,用户操作过程token过期了怎么续上?
前端登录退出:处理Token问题(获取、缓存、失效处理)以及代码实现
背心的博客
11-05 1万+
前端登录退出:处理Token问题(获取、缓存、失效处理)以及代码实现
详解token已过期含义及解决方 token过期是否需要重新登录
专注java二开部署
05-21 3393
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token已过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
cas 登录之后不跳转_连环画解析“单点登录”原理,保证你能看懂
weixin_39884100的博客
11-28 241
单点登录( Single Sign On ,简称 SSO),是目前比较流行的企业业务整合的解决方案之一,用于多个应用系统间,用户需要登录一次就可以访问所有相互信任的应用系统。图片来自 Pexels前置介绍:同源策略,限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互,要求协议,端口和主机都相同。HTTP 用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是无状态协议,所以服...
Java令牌Token登录退出的实现
08-19
在Java令牌Token登录退出的实现,通常使用Java-JWT库来生成和验证令牌。Java-JWT库提供了一个轻量级的JWT实现,支持多种算法和签名机制。 下面是一个使用Java-JWT库生成令牌的示例代码: ```java public class...
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
最新发布
03-17
JSON Web Token(JWT)作为一种轻量级的身份验证机制,被广泛应用于实现用户登录认证。本文将深入探讨如何使用JWT实现登录认证,并结合Token自动续期方案,确保用户会话的安全与持久性。以下是关于这个主题的详细...
Springboot登录后关于cookie和session拦截问题的案例分析
09-07
本文将深入探讨如何在Spring Boot使用Cookie和Session进行登录后的拦截处理。 首先,简单介绍一下登录验证的基本原理。当用户通过正确的用户名和密码登录后,系统会创建一个Session或设置一个特定的Cookie来标识...
PHP cookie,session使用用户自动登录功能实现方法分析
10-16
在PHP开发,Cookie和Session...在实现用户自动登录功能时,通常结合两者使用,利用Cookie持久化用户标识,而Session则用于临时存储用户会话信息。通过这种方式,可以提供便捷的用户体验,同时保持一定程度的安全性。
单点登录的JSON WEB TOKEN使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
关于解决token过期失效问题
xiaofiy的博客
06-15 3万+
关于解决token过期失效问题,用户token无感知(实现免登陆)一、先认识下token二、整体思路三、实现步骤1.理清各个文件作用2.路由导航守卫3.封装localStorage方法4.vuex5.封装axios 实现请求拦截器和响应拦截器(重点部分)四、小结 一、先认识下token 二、整体思路 三、实现步骤 1.理清各个文件作用 2.路由导航守卫 设置用户有无token访问主页,并且登录成功回到目标页 import Vue from 'vue' import VueRouter from 'v
已经登录的网页,从office word excel 打开链接要登录 session过期失效需要重新登录
HelloBiu的博客
08-31 4296
问题 我们都知道,在浏览器登录之后,如果是用session保持登录状态,只要浏览器没有关闭,没有退出登录,已经清除cookies,各个标签页都是能保持登录状态的,但是发现,从word,excel,ppt等软件点击超链接,通过浏览器打开,是不会有登录状态的,会重新登录 解决 通过在 StackOverflow 找到了解决方法,原因是Office 的链接是通过 Hlink.dll 来打开的 方案...
如何解决前后端token过期问题
热门推荐
时光冉冉,我们都在变
03-17 6万+
问题描述: 首先后端生成的token是有时限的,在一段时间后不管前端用户是否进行了访问后端的操作,后端的token都会过期,在拦截器阶段就会返回错误的请求:token过期,从而拿不到想要的请求数据. 解决思路: 每隔一段时间的后端请求都将token传送过去获取新的token并返回前端放入cookies并记录cookie的存储失控,达到更新cookietoken的效果;而长时间不做操作的话我...
token机制完成登录状态保持/身份认证
weixin_30767921的博客
11-22 654
一般APP都是刚安装后,第一次启动时需要登录(提示你需要登录或者直接启动在登录界面)。而只要登录成功后,以后每次启动时都是登录状态,不需要每次启动时再次登录。不过,也有些APP若你长期未启动,再次启动时,它会提示你登录过期,让你重新登录。这个是怎么实现的?APP是怎么保持登录状态的? 之所以突然写这个话题,是因为昨晚无意间刷知乎刷到了这个问题iOS系统如何实现app登录类似微信只需...
vue登录验证token失效多次弹窗问题修复
qq_37263478的博客
06-29 2092
定义一个变量,解决问题
网络请求时关于cookie或token失效的解决方案
Iturbo
11-23 1万+
网络请求时关于cookie或token失效的解决方案
session过期重新登陆_Cookie、Sesssion详解(Cookie和Session实现免登陆)
weixin_29086203的博客
01-31 2070
Cookie的机制Cookie是浏览器(User Agent)访问一些网站后,这些网站存放在客户端的一组数据,用于使网站等跟踪用户,实现用户自定义功能。Cookie的Domain和Path属性标识了这个Cookie是哪一个网站发送给浏览器的;Cookie的Expires属性标识了Cookie的有 效时间,当Cookie的有效时间过了之后,这些数据就被自动删除了。如果不设置过期时间,则表示这个Coo...
使用token登录后如何用token获得用户信息
04-04
一般来说,登录成功后服务器会返回一个包含 token 的响应。接下来,客户端可以将这个 token 存储在本地,以便在后续的请求使用。 为了获取用户信息,客户端需要向服务器发送一个带有 token 的请求。服务器会验证 token 的有效性,并从数据库检索与该 token 相关的用户信息。然后,服务器将用户信息作为响应发送回客户端。 具体的实现细节会依赖于你使用的编程语言和框架。一些常见的方法包括: - 在请求头添加 Authorization 属性,值为 Bearer 加上 token,例如:Authorization: Bearer {token}。 - 在请求的查询参数添加 token,例如:https://example.com/api/user?token={token}。 - 在请求正文添加 token,例如:{"token": "{token}"} 在服务器端,你需要编写代码来验证 token 的有效性,并从数据库或其他存储检索用户信息。一些流行的框架,如 Flask 和 Django,提供了内置的身份验证和用户管理功能,可以简化这个过程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值