龙空技术网

sessionId在每次request请求时变化的问题处理

人称老哥 106

前言:

现在兄弟们对“jssession”大约比较关心,咱们都想要学习一些“jssession”的相关文章。那么小编也在网络上收集了一些对于“jssession””的相关文章,希望我们能喜欢,各位老铁们一起来了解一下吧!

前言

众所周知,http协议的请求都是无状态的,所以服务端要记录用户的状态时,就需要用某种机制来识别具体的用户。而这个机制就是Session,Session是服务端保存的一个数据结构,用于跟踪用户状态的。我们一般用于存储用户的登录信息,也用其生成SessionId,存放在cookies上

问题

我们在开发过程中,因需要验证登录时使用的验证码,会在服务端生成一个SessionId与当时请求得到的验证码,放到redis上,再把SessionId返回存放到客户端上,作为该用户的一个凭证。用户请求时,会话未结束的话会带上SessionId,我们根据SessionId从redis上取到验证码,再对比用户传过来的验证码,就可以判断用户输入的验证码是否正确。代码也相对简单

//获取SessionIdString sessionId = request.getSession().getId();//获取验证码String validCode = getValidCode();//以SessionId作为Key,验证码作为值,存到Redis上RedisHelper.set(sessionId,validCode);

校验验证码

public boolean validCode(String code){    String sessionId = request.getSession().getId();    String codeValue = RedisHelper.get(sessionId);    return codeValue.equals(code);}

一切都是那么简单,那么容易。在本地测试完成,没任何问题,好!部署上线

环境不同,问题就产生了。

生产环境是多台服务器的,用Nginx转发。如果每次请求如果没法在同一台服务器上,SessionId就会变来变去。SessionId的生成流程如下:

这样请求流程会有一个问题产生,就是客户端生成的SessionId必然是会每次都不一样。有人会说,这还不好解决吗,在nginx上做一下规则,把同一个客户端的请求打到同一台服务器上,不就解决了吗?

当然,这也是解决问题的一个方案,但哪天换了人维护,都不知道要配置上这个规则,又或者这个规则不适用于当前的业务,那就不嗝屁了?我们有没有其他办法处理?

思路

1、从Session生成的规则来看,第一次请求,发现是没有SessionId的,服务端就会生成一个,并返回到客户端。这时会产生一个SessionId,并以Cookies形式存到客户端。

2、如果客户端都有SessionId了,再次传到服务端,我拿着这个SessionId去使用就可以了,不必再生成一个。

3、服务端怎么统一来拿到这个SessionId?

基于以上的问题,写个Demo来尝试一下。

1、建个测试请求

@Controller@RequestMapping("home")public class HomeController {    @ResponseBody    @GetMapping("getsessionid")    public String getSessionId(HttpServletRequest request, HttpServletResponse response)    {        String sessionId = request.getSession().getId();        return sessionId;    }}

第一次请求:

第二次请求:

通过对比,可以看出:

第一次客户端与服务端交互,会生成一个Session。这时SessionId会写到Response Cookies中。

第二次客户端与服务端进行交互,把会把Cookies中的SessionId一并提交到服务端。

在java环境开发,最方便是什么?看源码,所有不解的地方,源码会解答你!

sessionId是由request.getSession().getId();获取的,我们先看看request.getSession()是如何得到一个会话Session的。

通过调试,我们进入的是RequestFacade类中的getSession方法里,从438行内再进入到Request类内的getSession(bool create).上述序列图内说的可选地创建一个Session,这个可选项就是create这个参数,为true时:没有session就会创建一个,false则不创建

Request类内的getSession(bool create)

我们看一下doGetSession(create); 我们一般看源码,对doxxx类似的方法要特别留意一下,能做事的,一般都在这个方法里头,其他的一般都是准备工作。这里是一般情况,也不一定准确

Manager manager = context.getManager(); 这里从上下文获取到该上下文的管理器,这个管理器会管理到Session,Session的生成与查询都放到这里

this.session = manager.findSession(this.requestedSessionId); 重点在这里,这里看代码意思是从管理器中得到一个会话,但疑问就在于这个requestedSessionId怎么来?我们跟踪一下这个requestedSessionId的设置值的地方,可以看到值是从这里进来的

我们再看看这里是哪里调用到,打个断点。查看一下调用栈,看看往上的调用类与方法。

从这里可以看出SessionId是从Cookies来的。并且cookies名称为:JSESSIONID。而这个Id是可以通过request.getRequestedSessionId()得到。

通过request.getRequestedSessionId()得到客户端传过来的SessionId,就不必要再从服务端生成一个SessionId了。这样即使用用户第二次请求打不到第一次请求的服务器上,也没有关系,因为我已经有了Sessionid了,不需要再次生成一个SessionId。

通过整理,我们可以写一个拿SessionId的方法。代码如下:

/*** 获取sessionId* @param request   请求* @param response  响应* @return          sessionId*/public static String getSessionId(HttpServletRequest request, HttpServletResponse response) {    // request为空返回null    if (Objects.isNull(request) || Objects.isNull(response)){        return null;    }    // 优先取请求里的JSSESSIONID    String sessionId = request.getRequestedSessionId();    // 如果为空,需要新建一个    if (StringHelper.isNullOrEmpty(sessionId)){        HttpSession httpSession = request.getSession();        // 为空返回null        if (Objects.isNull(httpSession)){            return null;        }        sessionId = httpSession.getId();    }    return sessionId;}

其实这个问题的解决思路还是比较简单明了的,有些人可能通过度娘,找一下,找到request.getRequestedSessionId()来得到Id就可以解决问题了,但深挖问题的根源,session是怎样产生的,request.getRequestedSessionId()与request.getSession().getId()有什么区别?在生成session之前,服务器还做了哪些事情,这些等等,都是看了代码才知道的。找问题不找根源就不知道原理

标签: #jssession