跨域访问sessionid不一致问题

最新推荐文章于 2024-01-24 18:12:01 发布
最新推荐文章于 2024-01-24 18:12:01 发布
阅读量5.4w 收藏 62
点赞数 13
分类专栏: 框架学习之spring 文章标签: session 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011521890/article/details/73719198
版权

在开发过程中遇到这么一个问题,让我花了一个下午的大好时光才解决。但是解决玩之后,发现那么的容易。就是查找资料的时候很费劲。这里把问题记录一下。

问题的产生

  • 流程是这样的,要做一个用户登录的接口。在登录页面,前端先请求验证码,然后输入用户名密码和验证码之后,请求登录接口。
  • 这里存在两个接口,验证码接口和登录接口。在验证码接口中我用session保存验证码,在登录接口中我从session取出验证码进行校验。
    两个接口的代码如下:
@RequestMapping("/getImageCode")
    public void getImageCode(HttpServletRequest request,
                             HttpServletResponse response) throws IOException {
        response.setDateHeader("Expires", 0);
        response.setHeader("Cache-Control",
                "no-store, no-cache, must-revalidate");
        response.addHeader("Cache-Control", "post-check=0, pre-check=0");
        response.setHeader("Pragma", "no-cache");
        response.setContentType("image/jpeg");

        String capText = captchaProducer.createText();
        request.getSession().setAttribute(Constants.KAPTCHA_SESSION_KEY,capText);
        logger.info("code is "+capText+" session id is "+request.getSession().getId());
        BufferedImage bi = captchaProducer.createImage(capText);
        ServletOutputStream out = response.getOutputStream();
        ImageIO.write(bi, "jpg", out);
        try {
            out.flush();
        } finally {
            out.close();
        }
    }
    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public ModelMap login(HttpServletRequest request){
        ModelMapHelper helper = new ModelMapHelper();
        String userName = request.getParameter("userName");
        String password = request.getParameter("password");
        String imgCode = request.getParameter("imageCode");
        String sessionCode = (String) request.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY);
        logger.info("input code is "+imgCode+" session id is "+request.getSession().getId());
        if(StringUtils.isEmpty(imgCode)){
            helper.setErrorMap("验证码不能为空");
            return helper;
        }
        if(!imgCode.equals(sessionCode)){
            helper.setErrorMap("验证码不正确");
            return helper;
        }
        try {
            User user = userService.checkLogin(userName, password);
            if (user == null) {
                helper.setErrorMap("用户名或密码错误");
                return helper;
            }
            helper.setSuccessMap("登录成功");
            helper.setData(user);
            request.getSession().setAttribute("user",user);
        }catch (GeneralException g){
            g.printStackTrace();
            logger.warn(g.getMessage(),g);
            helper.setErrorMap(g.getMessage());
        }catch (Exception e){
            e.printStackTrace();
            logger.error("查询失败",e);
            helper.setInternalErrorMap();
        }
        return helper;
    }

*经过postman工具简单的接口测试之后,没有问题。但是与前端进行接口联调的时候发现了问题。
两次获取的sessionid不一致,导致在登录时候,没有获取session中的验证码!
问题

查找原因

百思不得其解!为什么用postman测试是正常的呢?而与前端联调就有这种问题。
原来后台是做了一个跨域访问的设置

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }

    // 设置跨域访问
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "TRACE")
                .allowCredentials(true);
    }
}

主要解释如下:
registry.allowedOrigins(““)设置跨域访问的域名,如果是,默认都可以访问。
这个方法是后来找到问题后,自己加上去的
registry.allowCredentials(true)设置是否允许客户端发送cookie信息。默认是false
具体关于这些头信息的解释可以参考:
http://www.ruanyifeng.com/blog/2016/04/cors.html

解决问题

其实最后就做了两件事情,
1. 服务端设置可以接收cookie信息

registry.allowCredentials(true)
  1. 在ajax请求中设置发送cookie信息
 $.ajax({
   url: a_cross_domain_url,
   xhrFields: {
      withCredentials: true
   }
});

再看看结果,sessionid就一致了。
这里写图片描述
参考的博客:
https://segmentfault.com/q/1010000002905817

阿卧
关注
  • 13
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
微信小程序sessionid一致问题解决
10-16
主要介绍了微信小程序sessionid一致问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx代理多个后端服务,怎么保持会话session一致
ruanyicheng的博客
04-05 999
我们使用了sticky route $cookie_route指令,这表示我们将根据用户的cookie中的名为route的值来选择后端服务器。如果cookie中不存在名为route的值,nginx将使用默认的负载均衡算法来选择后端服务器。Sticky session是指将用户的会话请求分配到相同的后端服务器上,以确保用户的会话保持一致性。请注意,如果你使用的是基于会话ID的sticky session功能,那么你还需要将会话ID传递到后端服务器。
session一致问题
jkzyx123的博客
02-25 682
session一致问题
跨域请求后端保存Cookie和Session设置
最新发布
weixin_52682014的博客
01-24 425
*讲解:**登录之后的请求会带登录用户信息,需要把登录时的cookie设置到之后的请求头里面。**问题:**我将后端生成的验证码保存在servlet的session中,前端传回用户输入的验证码在后端进行比对。但是我从session中取到的验证码一直为null。**原因:**因为请求跨域所以导致存进去后取出来的HttpServletRequest不是同一个对象,导致从session中取出来验证码为null。在前后端分离的项目中存在,光设置跨域策略不行。
Chrome浏览器同一窗口每次请求sessionId不同问题的一种解决办法分享
leonjack123的博客
08-25 8808
最近在调试一些浏览器请求页面的时候,在其他浏览器都正常,唯独只有谷歌chrome浏览器不行,问题的最直接现象就是每次请求在后台过滤器里通过request.getSession().getId(),拿到的id都是不同的,导致后面出现一些不正常的结果。 最后在查阅一翻资料和请教大佬们后,找到了解决办法。问题原因,由于谷歌浏览器的SameSite安全机制的问题,浏览器在跨域的时候不允许request请求携带cookie,导致每次sessionId都是新的,这里有个出问题前提:跨域,刚好和调试时的环境情...
每次发起的request获取的sessionid一致问题
热门推荐
shenya2的专栏
10-07 4万+
遇到类似问题的博客不少,也没几个能说出个所以然或是给出一个合理的解决方案的。 找到一个博客还可以:http://blog.csdn.net/u011521890/article/details/73719198 这里仅作记录,待日后验证!!
Java中session保存和获取验证码获取的id不一致问题
weixin_33813128的博客
08-10 1588
前几个月由于自己学习JAVAEE的一部分内容,于是最近准备自己写个小项目,于是碰见了一些问题对于一个JAva菜鸟来说,我需要保存下来 什么问题类,就是我在注册中加入验证码而且是中文,四字成语验证码, 首先用Java生成验证码验证码图片,调用验证码接口,把验证码使用session保存在客户端,并且发送图片到前端展示, 然后点击注册,前端传递用户输入的验证码到后台,后台获取用户输入的验证码和用...
分析HttpServletRequest的sessionId一致的原因
ଳxin的博客
05-09 3440
事情是这样的: 在接口①存入session,接着在接口②获取session,结果:同一个key,却打印为空!!! 为何不同? 一、从session的原理上来看: session的工作原理就是依靠cookie来做支撑,第一次使用request.getSession()时session被创建, 并且会为该session创建一个独一无二的sessionid存放到cookie中,然后发送会浏览器端, 浏览器端每次请求时,都会带着这个sessionid,服务器就会认识该sessionid, 知道了sessi
SpringBoot解决关于跨域导致sessionId一致问题
liuzhongyu
09-09 5711
在用谷歌的kaptcha做验证码登录校验遇到了如下问题 用谷歌浏览器(版本85)访问验证码
sessionId在每次request请求时变化的问题处理
daimondaimon的专栏
12-30 1万+
前言 众所周知,http协义的请求都是无状态的,所以服务端要记录用户的状态时,就需要用某种机制来识别具体的用户。而这个机制就是SessionSession是服务端保存的一个数据结构,用于跟踪用户状态的。我们一般用于存储用户的登录信息,也用其生成SessionId,存放在cookies上 问题 我们在开发过程中,因需要验证登录时使用的验证码,会在服务端生成一个SessionId与当时请求得到的验证码,放到redis上,再把SessionId返回存放到客户端上,作为该用户的一个凭证。...
同一个网站两次Request不同session问题排查记录
owisho_java的专栏
07-21 1295
现象: 两次request的hashCode相同,但request.getSession()获取到的session却不同; 排查记录: 其在 Chrome Devlope tools中 对应的提示:接口在 Response 响应头中Set-Cookie 时 失败。 This Set-Cookie was blocked because it was not sent over a secure-connection and would have overwr...
iframe跨域session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息在线产品(http://iap.pgia.net)测试各种浏览器的兼容性时,发现IE浏览器(v7\8)都无法登录(总是提示验证码不匹配
express如何解决ajax跨域访问session失效问题详解
10-16
主要给大家介绍了关于express如何解决ajax跨域访问session失效问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
解决 前后端分离 跨域 sessionid每次都变化
黄大仙儿的专栏
08-29 3万+
前端开发使用的VUE,后端使用的java,前后端分离,因为跨域问题JSESSIONID每次请求都会变化,解决方法如下: 前端要将withCredentials设为true 以ajax请求为例: $.ajax({ url: a_cross_domain_url, // 将XHR对象的withCredentials设为true xhrFields: { wi
同一服务器上不同的request请求为什么能取得相同Session对象
不积跬步无以至千里
11-20 9738
Http请求通过Session和Cookie保持会话。 服务器duan
Vux发送跨域http请求保持sessionid一致
Honins的博客
06-15 1926
因为我用的是vue-resource插件,所以在每次跨域请求后台时都是一个新的session,所以后来处理session的时候,每次获取的值都是null要保持一致,需要做一些配置:java后台:后台在springmvc的配置文件里要加上 allow-credentials="true" ,才能接受前台传过来的session前台:Get方法的写法:Post方法:这样就可以了注意一定要按照格式写,否则...
springboot跨域配置类
qq_34093116的博客
11-26 441
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springf.
request.getRequestedSessionId()与session.getId()的异同
qq_52810376的博客
04-20 1217
同理我们可以通过删除JSESSIONID验证,每次删除JSESSIONID的cookie再进行访问时,在session.getid()之前调用request.getRequestedSessionId()获取到的值一定为null。如果未删除相应cookie,重启服务器,第一次调用request.getRequestedSessionId()时,所获取到的值,为上一次(即重启服务之前的最后一次)session.getid()的值。这里可以分成两种情况。如果我们是第一次创建session
同一浏览器 两次跨域请求 sessionid一致
05-17
如果两次跨域请求在同一浏览器中使用不同的域名,那么它们的 sessionid 是不同的,因为 sessionid 是与域名相关的。当浏览器向服务器发送跨域请求时,...因此,在同一浏览器中,两次跨域请求sessionid 是不一致的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值