服务器生成的验证码设置到 Session 中后丢失的问题,通常是由于 Session 作用域不一致、跨域导致 Cookie 未正确传递或 Session ID 未保持一致 所引起的

最新推荐文章于 2025-05-07 14:24:28 发布
最新推荐文章于 2025-05-07 14:24:28 发布
阅读量791 收藏 25
点赞数 7
分类专栏: 开发 运维 安全 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zp357252539/article/details/147742703
版权

在本地访问远程服务器的验证码接口时,如果遇到服务器生成的验证码设置到 Session 中后丢失的问题,通常是由于 Session 作用域不一致、跨域导致 Cookie 未正确传递或 Session ID 未保持一致 所引起的。
在这里插入图片描述

🧨 问题现象

  • 客户端(如浏览器/小程序)请求 /generate-captcha 接口获取验证码图片;
  • 服务器生成验证码并将其保存在 HttpSession 中;
  • 后续请求(如登录)中无法从 Session 中获取之前保存的验证码;
  • 验证码校验失败。

📌 常见原因分析

原因描述
跨域请求未携带 Cookie浏览器默认不会携带 Cookie 到不同源的服务器
Session ID 每次不同每次请求都创建了新的 Session,导致验证码未被保存
后端未开启 CORS 支持 Cookie未设置 Access-Control-Allow-Credentials: true
使用负载均衡但未共享 Session多实例部署下 Session 未同步
请求使用 HTTP 而非 HTTPSCookie 设置了 Secure 属性,导致不通过 HTTP 发送

✅ 解决方案详解

1. 前端配置:允许携带 Cookie(适用于浏览器环境)

// 示例:使用 fetch
fetch('https://yourdomain.com/generate-captcha', {
  method: 'GET',
  credentials: 'include' // 关键配置,允许携带 Cookie
});

⚠️ 注意:credentials: 'include' 是解决跨域 Cookie 问题的关键。

2. 后端配置:CORS 支持 Cookie

Java Spring Boot 示例:
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("http://localhost:8080") // 允许的前端地址
                .allowCredentials(true) // 允许携带 Cookie
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .exposedHeaders("Set-Cookie"); // 暴露 Set-Cookie 头
    }
}

3. 确保 Session ID 保持一致

  • 检查响应头中是否包含 Set-Cookie: JSESSIONID=xxx
  • 下一次请求是否携带相同的 Cookie: JSESSIONID=xxx
  • 如果使用 Nginx 或反向代理,请确保粘性会话(Sticky Session)已启用。

4. 使用 Token 替代 Session(推荐现代做法)

为了更安全和便于扩展,建议将验证码存储于服务端缓存(如 Redis),并通过 Token 关联客户端与服务端:

步骤:

  1. 请求验证码接口:

    • 服务端生成验证码 + 唯一 token;
    • token -> code 存入 Redis;
    • 返回 token 和验证码图片;

  2. 登录时提交 token 和用户输入的验证码;

  3. 服务端根据 token 查询 Redis 中的验证码进行比对。

示例代码(Java + Redis):
@GetMapping("/generate-captcha")
public CaptchaResponse generateCaptcha(HttpServletResponse response) {
    String captchaCode = generateRandomCode(); // 生成验证码
    String token = UUID.randomUUID().toString();

    // 存入 Redis,有效期5分钟
    redisTemplate.opsForValue().set("captcha:" + token, captchaCode, 5, TimeUnit.MINUTES);

    // 返回 token 和图片
    return new CaptchaResponse(token, captchaImageBase64);
}

@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest request) {
    String storedCode = redisTemplate.opsForValue().get("captcha:" + request.getToken());

    if (storedCode == null || !storedCode.equals(request.getCaptcha())) {
        throw new RuntimeException("验证码错误或已过期");
    }

    // 继续处理登录逻辑...
}

🔍 如何调试确认问题

工具用途
Chrome DevTools > Network查看请求头中的 Cookie 和响应头中的 Set-Cookie
Application > Storage > Cookies查看当前域名下的 Cookie 是否保存
控制台输出查看 Session ID 是否变化
Redis CLI / 数据库工具查看验证码是否成功写入缓存

📋 总结表格

问题类型原因解决方法
验证码丢失Session 不一致确保 Cookie 正确传输,Session ID 不变
跨域请求Cookie 未携带前端设置 credentials: 'include',后端允许 CORS with credentials
多实例部署Session 不共享使用 Redis 等共享存储替代 Session
推荐做法避免依赖 Session使用 Token + Redis 实现无状态验证

✅ 最佳实践建议

  • 使用 Token + Redis 替代 Session,提高安全性与可扩展性;
  • 前端每次请求带上 withCredentials: true
  • 后端配置 CORS 支持凭据;
  • 使用 HTTPS 协议,避免 Cookie 被拦截;
  • 验证码设置合理过期时间(如 5 分钟);
  • 记录日志跟踪每个请求的 tokensession id,便于排查问题。

如果你能提供具体的前后端技术栈(如 Vue + Spring Boot)、接口调用流程图或报错日志,我可以进一步帮你定位具体问题。

【Golang】关于Gin框架中的CookieSession
景天科技苑
10-25 5万+
在深入探讨CookieSession之前,我们需要了解HTTP协议的无状态特性。简单来说,HTTP是一种无状态协议,即每次请求与响应之间都是独立的,服务器会记住之前的状态信息。这意味着,当用户从一个页面跳转到另一个页面时,服务器无法自动识别这是同一个用户的请求。为了实现请求的数据共享,我们可以使用CookieSession。本文将结合实际案例,详细介绍在Go语言的Gin框架中如何使用CookieSession
php session 设置作用域,thinkPHP session使用
weixin_36023909的博客
03-09 579
您现在的位置是:网站首页>>PHP>>thinkPHPthinkPHP session使用发布时间:2018-12-06 10:13:18作者:wangjian浏览量:773点赞量:0thinkPHP中直接使用think\facade\Session类操作Session一:session初始化、在配置模块目录对应模块配置目录下的session.php文件中配置...
SpringBoot解决访问及一致Session问题
真正的大师,永远怀着一颗学徒的❤
04-24 5946
解决问题 前后端分离项目背景下,访问及一致session问题(是否同一用户)。 ps:以前做的项目都是前、后端部署在一个tomcat容器中,会涉及到访问以及一致session问题。随着前后端分离架构的流行,前、后端部署在服务器等都会涉及到问题。 同源策略 同源策略是浏览器保证安全的基础,它的含义是指,A网页设置Cookie,B网页能打开,除非这两个网页同...
做web开发,怎么能cookiesession和token呢?
热门推荐
no problem的博客
06-30 5万+
如果把人体比作一个web系统的话,cookiesession和token就好像人体的经络和血管一样,而web系统中的数据,就好像人体的血液一样。血液依靠着血管在人体内流动,就如数据根据cookiesession机制在web系统中流动一样。而web系统开发者就好比一个医术精湛的医生,医生需要十分清楚人体的经络和血液流向才能对症下药,而web系统开发者需要十分清楚cookiesession机制,才能迅速解决疑难BUG,开发出更好的web系统。 引入: ...
java session_session共享问题
weixin_39627699的博客
03-06 1092
session主要分为两部分:一个是session数据,该部分默认是存储在服务器端的tmp目录下,是以文件形式存在。另一个是标志session数据的sessionIDsessionID就是那个session文件的文件名。sessionID是随机生成的,因此能保证唯一性和随机性,确保session的安全。一般来说,如果没有设置session的生存期,则sessionID一直存在客户端内存中,直到浏...
node的express-session设置sameSite和secure生效且session丢失
wzp20092009的博客
04-15 1474
一般在node环境里,设置请求需要配置sameSite和secure的值,但以下配置往往生效。
SSO+CAS实现单点登录,完美解决session+cookie问题
weixin_43002935的博客
08-29 3619
背景 在企业发展初期,企业使用的系统很少,通常一个者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。 但随着企业的发展,用到的系统随之增多,运营人员在操作同的系统时,需要多次登录,而且每个系统的账号都一样,这对于运营人员 来说,很方便。于是,就想到是是可以在一个系统登录,其他系统就用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single Sign ...
解决Axios请求时session一致
Korbin的博客
01-22 4291
1、原因 这个问题的产生关系到会话保持的原理:当浏览器第一次请求服务器时,服务器会为其创建一个session对象,每个session对象有一个自己的唯一id作为自己的标识。服务器为了判断下次请求的是是同一个浏览器,会把这个sessionId放到cookie中,以cookie的形式返回给浏览器,并暂时存储在浏览器中。这样,只要浏览器关闭,再去访问服务器时,就会自动带上这个sessionId,服务...
java cookie作用域_CookieSession,Servlet跳转,作用域
weixin_35308770的博客
03-06 258
会话跟踪从打开浏览器访问某个站点开始,到关闭这个浏览器的整个过程,称为一次会话。会话跟踪技术(CookieSession)的作用由于HTTP是无状态协议,每次的请求都是独立的,会影响之前之后的请求应答,从而导致每个请求间的数据无法共享。会话跟踪技术就是记录这次会话中客户端的状态与数据,实现请求间的数据共享。CookieSession存储位置客户端(浏览器)服务器端安全性本地可清理,安全性好安...
PHP关于IE下的iframe导致session丢失问题解决方法
12-19
其他参考文章中提到了一个类似的问题,即在Java环境下,由于jsessionid无法在iframe中正确传递导致Session丢失。解决办法同样是确保正确设置Cookie策略,使得Session能够在同的页面间正确传递。 总的来说,针对...
iframesession失效问题的解决办法
10-26
通过这种方式,可以解决在IE浏览器中由于P3P隐私设置导致的iframecookie丢失问题,进而解决session失效导致的用户频繁重新登录的问题。这个方法在技术上是可行的,但需要网站管理员操作,确保P3P声明符合实际的...
PHP实现cookiesession共享的方法分析
10-16
Session则是服务器端存储的数据,通常存储在服务器的内存中,通过唯一标识符(Session ID)与客户端的Cookie关联,实现客户端与服务器的数据交互。 ### Cookie设置问题 在PHP中,`setcookie()` 函数用于设置...
php中cookie作用域
12-17
5. **安全性和隐私**:设置Cookie作用域时,也要考虑安全性和隐私问题恰当的设置可能导致敏感信息泄露,因此应谨慎处理,尤其是涉及用户个人信息的Cookie。 6. **删除Cookie**:要删除一个Cookie,你可以使用...
MCPHub:一站式MCP服务器聚合平台
wbsu2004的博客
05-07 906
MCPHub 是一个统一的中心服务器,可针对同场景将多个 MCP 服务器聚合到单独的可流式传输 HTTP (SSE) 终端节点中。
Linux Shell 重定向与管道符号(>, >>, |)的实现机制
imhikaru的专栏
05-01 1990
重定向目标 | 标准输出 → 文件 | 标准输出 → 文件末尾 | 命令输出 → 管道写端,命令输入 ← 管道读端 || 用途 | 输出重定向到文件(覆盖原内容) | 输出追加到文件末尾 | 将前一命令的输出作为后一命令的输入 || 项目 || 系统调用 |
服务器数据恢复—硬盘坏道导致EqualLogic存储可用的数据恢复
最新发布
beiya123的博客
05-07 271
1、将故障存储上的16块硬盘做好标记后取出。硬件工程师对所有硬盘做硬件故障检测,发现其中2块硬盘存在坏道,SMART的错误冗余级别已经超过阙值。所有硬盘镜像完成后根据标记按照原样还原到原存储中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。分析收集到的日志信息,找到两块硬盘的掉线时间,用数据较新的硬盘恢复数据。北亚企安数据恢复工程师编写程序,根据位图信息从重组出来的RAID中将4个lun的数据全部提取出来。4、分析底层结构,将4个VMFS进行区卷组合,并导出数据。
Nginx搭建test服务器
轻风细雨_林木木
05-02 685
Ctrl + O 保存,Enter 确认,Ctrl + X 退出。新建目录,Git拉取项目代码,安装上插件包。创建名:test.xxxxx.com。中添加配置文件,通过软链接放入。就可以控制自己的代理服务了。修改配置文件“服务器接口”所有已安装模块的配置存放处。建一个反向代理服务,在。
Linux diff 命令使用详解
tangPHP的博客
05-02 887
Linux中的diff命令用于逐行比较文件。它以各种格式报告差异,广泛应用于脚本编写、开发和补丁生成
AI服务器的作用都有哪些?
wanhengidc的博客
05-06 250
为了能够存储大量的数据信息,AI服务器还会配备大容量的存储设备,可以使用高速硬盘者书固态硬盘来满足快速读写数据的需求,同时,AI服务器还会配备一些特殊的存储设备,为其提供更高的存储性能和数据安全性。高速的网络连接可以与其他设备进行快速的数据信息传输和通信,十分适用于大规模的数据处理和模型训练,为企业提供了网络低延迟度和高带宽,从而支持大规模数据的传输。AI服务器配备了高性能的处理器,可以在人工智能等领中快速的进行大规模并行计算,可以让在AI模型的训练和推理过程中获得更快的计算速度和更为高效的计算效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱的叹息

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值