项目组一同事负责的一个小项目需要Session共享,记得我曾经看过标题如“一个注解搞定Session共享”的文章。我便把之前收藏的一篇Spring Session+ Redis实现session共享的文章发给了他。30分钟后,本以为一切都顺利,却发现登录时从session中取验证码的code值取不到。经过我的一番排查,终于解决了这个问题,顺便写下了本文。
Spring Session + redis 实现session 共享 可以参考官网的玩法,也可以参考我下面的代码。官网传送门:https://docs.spring.io/spring-session/docs/current/reference/html5/guides/boot-redis.html
一、Spring Session + Redis 整合标准套路
优先说明:本次使用SpringBoot版为
<version>2.1.17.RELEASE</version>
(1)pom.xml添加依赖
<!-- springboot - Redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <!--spring session 与redis应用基本环境配置,需要开启redis后才可以使用,不然启动Spring boot会报错 --> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dependency> <!-- redis lettuce连接池 需要 commons-pool2--> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId> </dependency>
(2)application.yml配置redis
spring:
redis:
host: 192.168.200.156
port: 6379
# 密码 没有则可以不填
password: 123456
# 数据库索引(根据产品线配置)
database: 1
timeout: 1000ms
# 集群配置(根据实际情况配置多节点)
# cluster:
# nodes:
# - 192.168.200.161:6379
# max-redirects: 2
# lettuce连接池
lettuce:
pool:
# 最大活跃连接数 默认8
max-active: 32
# 最大空闲连接数 默认8
max-idle: 8
# 最小空闲连接数 默认0
min-idle: 5
(3)启动类添加注解@EnableRedisHttpSession
// session托管到redis // maxInactiveIntervalInSeconds单位:秒; // RedisFlushMode有两个参数:ON_SAVE(表示在response commit前刷新缓存),IMMEDIATE(表示只要有更新,就刷新缓存) @EnableRedisHttpSession(maxInactiveIntervalInSeconds= 1800, redisFlushMode = RedisFlushMode.ON_SAVE, redisNamespace = "newborn") @SpringBootApplication public class NewbornApplication { public static void main(String[] args) { SpringApplication.run(NewbornApplication.class, args); } }
二、出现的问题
问题描述: 用户登录页面的验证码存在了Session中,但登录时发现Session里面没有验证码。也就是说生成验证码时的Session和登录的Session不是一个。
由于项目采用了前后端分离,因此用了nginx,nginx配置如下:
server{ listen 8090; server_name localhost; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host:$server_port; # 后端服务反向代理 location /newborn/ { proxy_pass http://192.168.199.21:8088/newborn/; # 设置cookie path替换, 这里是将 /newborn 替换成/ ,将服务端/newborn 的cookie 写到 / 下,方便前端访问后端设置的cookie proxy_cookie_path /newborn /; # 其实这里也可以不用设置cookie替换,只要后端项目content-path和设置代理location 后面的 代理路径一样就不用替换 } # 前端文件 location / { root /newborn; # alias /newborn; index index.html; } }
这个nginx配置没有做任何修改,以前没用Spring Session 时系统一切正常。那么这个问题肯定和Spring Session有关系
三、问题的解决过程
(1)发现Cookie path 的改变
通过打开谷歌浏览器的调试模式,发现获取验证码是Response Headers 有Set Cookie的动作,但是这个Path 有点奇怪,是 //。参考下图
然后由于这个path是// ,导致浏览器Cookie没有写入成功
(2)对比使用Spring Session 和 不使用 Spring Session 时Cookie的不同
为了排除nginx的干扰,直接通过访问后端验证码的方式来对比二者的不同
<1> 不使用Spring Session时,参考下图
<2> 使用Spring Session时,path 上多了一个斜杠 / , 参考下图
对比小结:不使用Spring Session时,Cookie Path 是 项目的ContextPath使用Spring Session时,Cookie Path 是 项目的ContextPath + /
(3)原因分析
通过(2)的 cookie 对比,发现Cookie 的Path的变化是这个问题产生的根本原因。由于使用了nginx,而且nginx中配置了cookie path替换,配置为: proxy_cookie_path /newborn /;在使用Spring Session后,后端返回的cookie path 为 /newborn/,经过替换后变成了 //。也就找到了为何上文中使用nginx后Cookie path为// 的原因
(4)源码分析
通过源码分析,发现org.springframework.session.web.http.DefaultCookieSerializer类里面有个获取Cookie path的方法,方法内容如下:
private String getCookiePath(HttpServletRequest request) { if (this.cookiePath == null) { // 在没有设置cookiePath 情况下默认取 ContextPath + / return request.getContextPath() + "/"; } return this.cookiePath; }
在没有设置cookiePath 情况下默认取 ContextPath + /
(5) 最终解决方案
自己实例化一个自定义DefaultCookieSerializer的到Spring容器中,覆盖默认的DefaultCookieSerializer。因此在启动类中添加下面代码
@Autowired private ServerProperties serverProperties; @Bean public CookieSerializer cookieSerializer() { // 解决cookiePath会多一个"/" 的问题 DefaultCookieSerializer serializer = new DefaultCookieSerializer(); String contextPath = Optional.ofNullable(serverProperties).map(ServerProperties::getServlet) .map(ServerProperties.Servlet::getContextPath).orElse(null); // 当配置了context path 时设置下cookie path ; 防止cookie path 变成 contextPath + / if (!StringUtils.isEmpty(contextPath)) { serializer.setCookiePath(contextPath); } serializer.setUseHttpOnlyCookie(true); serializer.setUseSecureCookie(false); // 干掉 SameSite=Lax serializer.setSameSite(null); return serializer; }
四、当没有Redis时快捷的关闭Spring Session的实现方案
方案:在application.yml 添加个配置项,1开 0关
(1)yml中添加如下内容
# redis session 共享开关,1开 0 关, 没有redis时请关闭(即 设为0)
redis:
session:
share:
enable: 1
(2)添加2个配置类
将@EnableRedisHttpSession和自定义CookieSerializer从启动类移动到下面的配置类
RedisSessionShareOpenConfig 代码
/** * 启用 Redis Session 共享 * @author ZENG.XIAO.YAN * @version 1.0 * @Date 2020-09-23 */ @Slf4j @Configuration @ConditionalOnProperty(name = "redis.session.share.enable", havingValue = "1") @EnableRedisHttpSession(maxInactiveIntervalInSeconds= 1800, redisFlushMode = RedisFlushMode.ON_SAVE, redisNamespace = "newborn") public class RedisSessionShareOpenConfig { public RedisSessionShareOpenConfig() { log.info("<<< Redis Session share open.... >>>"); } @Autowired private ServerProperties serverProperties; @Bean public CookieSerializer cookieSerializer() { // 解决cookiePath会多一个"/" 的问题 DefaultCookieSerializer serializer = new DefaultCookieSerializer(); String contextPath = Optional.ofNullable(serverProperties).map(ServerProperties::getServlet) .map(ServerProperties.Servlet::getContextPath).orElse(null); // 当配置了context path 时设置下cookie path ; 防止cookie path 变成 contextPath + / if (!StringUtils.isEmpty(contextPath)) { serializer.setCookiePath(contextPath); } serializer.setUseHttpOnlyCookie(true); serializer.setUseSecureCookie(false); // 干掉 SameSite=Lax serializer.setSameSite(null); return serializer; } }
RedisSessionShareCloseConfig 代码
/** * 关闭Redis Session 共享 * <p> 通过排除Redis的自动配置来达到去掉Redis Session共享功能 </p> * @author ZENG.XIAO.YAN * @version 1.0 * @Date 2020-09-23 */ @Configuration @ConditionalOnProperty(name = "redis.session.share.enable", havingValue = "0") @EnableAutoConfiguration(exclude = {RedisAutoConfiguration.class}) @Slf4j public class RedisSessionShareCloseConfig { public RedisSessionShareCloseConfig() { log.info("<<< Redis Session share close.... >>>"); } }
五、总结
(1)在使用Spring Session + Redis 共享Session时,默认的Cookie Path 会变成 ContextPath + /(2)如果存在 nginx 配置了Cookie Path 替换的情况,则一定要注意,防止出现替换后变成了// 的情况