spring-session-core导致的接口调用问题,排查记录

盖丽男2023-11-07 11:37

问题出现

最近需要开发几个open接口,给其他端用,所以是不需要进行是否登录的鉴权的,用户管理那边提供的框架也留了口子,可以通过设置排除链接来不鉴权,比如排除掉所有/openapi/*的接口调用。

但是有一个问题,配置好之后,使用postman来调用,第一次调用正常,之后再调用在postman那看,好像啥也没返回,从代码这边看,是因为鉴权没通过所以跳404,就很奇怪,我一开始用的chrome的插件版postman,折腾半天搞不定啊,后来我把插件卸载再重新安装,就又能调通一次。但是因为插件版的很多设置找不到入口,所以我又安装了软件版的postman,发现每次调用完之后,接口返回值会在cookie中设置一个SESSION=XXXXX之类的东西,然后postman就会把这个东西存在cookie中,下次调用发给后端,后端会拿这个东西去查权限,一查查不到,就报错了,

简单解决

知道了表现,可以针对这个表现先简单解决一下,是的,就是每次调用完接口就手动删除一次cookie中的session,就这么用了几天,后来觉得太麻烦了,就想看下是哪里在设置,是不是能从根本上解决问题。

排查

已知:

  • 系统里获取用户的方式,是从session中取用户
  • cookie中设置的对象是SESSION作为key的

所以我怀疑这是SSO那边搞的,而且表现是cookie中设置了东西,我想的是把我这几个open接口的cookie清除一下

第一步:清除cookie法

因为我有一个处理所有open接口的controlleradvice,所以我就想能不能利用上,查了一下可以用利用@ControllerAdvice和ResponseBodyAdvice来处理,所以我写了一版,在beforeBodyWrite里将cookie中的SESSION删除,试了一下果然不行,而且我发现不管我的@ControllerAdvice的order设置多少都不行,所以这条路走不通,但是原因我好像还没找到,有懂的请评论告诉我吧。

第二步:查根本原因

我之所以一开始选择第一版,就是因为我不知道这个SESSION是啥时候设置的,所以我只能曲线救国,结果失败了,所以还是要直面这个问题,但是程序里引了那么多的包,我咋知道是哪里这么写了一句呢,我先把sso的包排查了一遍,没找到哪里设置cookie,也没找到设置session的地方,然后全局搜索"SESSION",真的被我找到一个地方,有一个@Bean,是获取CookieSerializer的,里面有一句

java 复制代码 
defaultCookieSerializer.setCookieName("SESSION");

我试着改了一下这个cookiename里的内容,比如改成"SESSIONAAA",接口返回的cookie里,果然也跟着变成了SESSIONAAA。然后看了一下,CookieSerializer属于spring-session-core包,有了目标就好说了。

第三步:排除接口

找到了具体包,我的第一反应肯定是查下有没有啥配置项,可以排除掉我的open接口的,尝试了这种方式:博客系统用户会话管理,亲测不行,还是设置SESSION,然后我询问了claude,他说可以重写CookieSerializer,不过我看了一下,项目中已经有了一个CookieSerializer的Bean,可以在这个基础上改。

解决

下面详细写一下解决方式:

首先自己写一个CookieSerializer继承默认的DefaultCookieSerializer

java 复制代码 
@Configuration
public class CustomCookieSerializer extends DefaultCookieSerializer {
	@Override
	public void writeCookieValue(Cookievalue cookievalue){ 	
	if(!(ServletRequestAttributes) (RequestontextHolder .currenteqvestAttributes()).getRequest).getRequestURI().startswith("/openapi/"){
			super.writeCookievalue(cookievalue):
			}
	}
	
}

然后通过自定义的那个Bean把咱们自定义的这个返回去。

java 复制代码 
    @Bean
    public CookieSerializer cookieSerializer() {
        CustomCookieSerializer serializer = new CustomCookieSerializer();
        serializer.setCookieName("SESSION");
        serializer.setCookiePath("/");
        return serializer;
    }

然后就可以啦。

关联一下上一篇:spring-session-core排除某些接口不设置session

相关推荐
RH2312111 天前
2026.4.16Linux 管道
java·linux·服务器
zmsofts1 天前
java面试必问13:MyBatis 一级缓存、二级缓存:从原理到脏数据,一篇讲透
java·面试·mybatis
苍何1 天前
万字保姆级教程:Hermes+Kimi K2.6 打造7x24h Agent军团
后端
我叫黑大帅1 天前
为什么map查找时间复杂度是O(1)?
后端·算法·面试
aq55356001 天前
编程语言三巨头:汇编、C++与PHP大比拼
java·开发语言
我是无敌小恐龙1 天前
Java SE 零基础入门Day01 超详细笔记(开发前言+环境搭建+基础语法)
java·开发语言·人工智能·opencv·spring·机器学习
FreeCultureBoy1 天前
用 phpbrew 管理 php 环境:从安装到多版本切换
后端·php
FreeCultureBoy1 天前
用 jenv 管理 Java 环境:从安装 JDK 到多版本切换
后端
心态与习惯1 天前
Julia 初探,及与 C++,Java,Python 的比较
java·c++·python·julia·比较
IT_陈寒1 天前
Vite的热更新突然失效,原来是因为这个配置
前端·人工智能·后端
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026年4月AI大事件深度解读:大模型竞争进入“深水区“042026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free05近期有什么ai的新消息,新动态? 2026.4月06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07Claude Code Windows 兼容性问题:指定版本 2.1.112 可解决08从限购到畅通:GLM-5.1 Coding Plan接入攻略09UBUNTU Claude Code 报错 claude native binary not installed10CC-Switch & Claude 基于 Linux 服务器安装使用指南