spring-session-core导致的接口调用问题,排查记录

盖丽男2023-11-07 11:37

问题出现

最近需要开发几个open接口,给其他端用,所以是不需要进行是否登录的鉴权的,用户管理那边提供的框架也留了口子,可以通过设置排除链接来不鉴权,比如排除掉所有/openapi/*的接口调用。

但是有一个问题,配置好之后,使用postman来调用,第一次调用正常,之后再调用在postman那看,好像啥也没返回,从代码这边看,是因为鉴权没通过所以跳404,就很奇怪,我一开始用的chrome的插件版postman,折腾半天搞不定啊,后来我把插件卸载再重新安装,就又能调通一次。但是因为插件版的很多设置找不到入口,所以我又安装了软件版的postman,发现每次调用完之后,接口返回值会在cookie中设置一个SESSION=XXXXX之类的东西,然后postman就会把这个东西存在cookie中,下次调用发给后端,后端会拿这个东西去查权限,一查查不到,就报错了,

简单解决

知道了表现,可以针对这个表现先简单解决一下,是的,就是每次调用完接口就手动删除一次cookie中的session,就这么用了几天,后来觉得太麻烦了,就想看下是哪里在设置,是不是能从根本上解决问题。

排查

已知:

  • 系统里获取用户的方式,是从session中取用户
  • cookie中设置的对象是SESSION作为key的

所以我怀疑这是SSO那边搞的,而且表现是cookie中设置了东西,我想的是把我这几个open接口的cookie清除一下

第一步:清除cookie法

因为我有一个处理所有open接口的controlleradvice,所以我就想能不能利用上,查了一下可以用利用@ControllerAdvice和ResponseBodyAdvice来处理,所以我写了一版,在beforeBodyWrite里将cookie中的SESSION删除,试了一下果然不行,而且我发现不管我的@ControllerAdvice的order设置多少都不行,所以这条路走不通,但是原因我好像还没找到,有懂的请评论告诉我吧。

第二步:查根本原因

我之所以一开始选择第一版,就是因为我不知道这个SESSION是啥时候设置的,所以我只能曲线救国,结果失败了,所以还是要直面这个问题,但是程序里引了那么多的包,我咋知道是哪里这么写了一句呢,我先把sso的包排查了一遍,没找到哪里设置cookie,也没找到设置session的地方,然后全局搜索"SESSION",真的被我找到一个地方,有一个@Bean,是获取CookieSerializer的,里面有一句

java 复制代码 
defaultCookieSerializer.setCookieName("SESSION");

我试着改了一下这个cookiename里的内容,比如改成"SESSIONAAA",接口返回的cookie里,果然也跟着变成了SESSIONAAA。然后看了一下,CookieSerializer属于spring-session-core包,有了目标就好说了。

第三步:排除接口

找到了具体包,我的第一反应肯定是查下有没有啥配置项,可以排除掉我的open接口的,尝试了这种方式:博客系统用户会话管理,亲测不行,还是设置SESSION,然后我询问了claude,他说可以重写CookieSerializer,不过我看了一下,项目中已经有了一个CookieSerializer的Bean,可以在这个基础上改。

解决

下面详细写一下解决方式:

首先自己写一个CookieSerializer继承默认的DefaultCookieSerializer

java 复制代码 
@Configuration
public class CustomCookieSerializer extends DefaultCookieSerializer {
	@Override
	public void writeCookieValue(Cookievalue cookievalue){ 	
	if(!(ServletRequestAttributes) (RequestontextHolder .currenteqvestAttributes()).getRequest).getRequestURI().startswith("/openapi/"){
			super.writeCookievalue(cookievalue):
			}
	}
	
}

然后通过自定义的那个Bean把咱们自定义的这个返回去。

java 复制代码 
    @Bean
    public CookieSerializer cookieSerializer() {
        CustomCookieSerializer serializer = new CustomCookieSerializer();
        serializer.setCookieName("SESSION");
        serializer.setCookiePath("/");
        return serializer;
    }

然后就可以啦。

关联一下上一篇:spring-session-core排除某些接口不设置session

相关推荐
SuperherRo5 分钟前
JAVA攻防-Shiro专题&key利用链&CB1链分析&入口点&调用链&执行地&Class加载
java·shiro·反序列化·cb1链
韩立学长9 分钟前
基于Springboot流浪动物救助系统o8g44kwc(程序、源码、数据库、调试部署方案及开发环境)系统界面展示及获取方式置于文档末尾,可供参考。
数据库·spring boot·后端
沛沛老爹13 分钟前
Web开发者转型AI:Agent Skills版本控制与管理实战——从Git到AI技能仓库
java·前端·人工智能·git·架构·rag
我命由我1234517 分钟前
充血模型与贫血模型
java·服务器·后端·学习·架构·java-ee·系统架构
时间会给答案scidag33 分钟前
Spring AI Alibaba 学习day01
人工智能·学习·spring
重学一遍34 分钟前
Spring Security + JWT + Redis 的认证授权系统
java·redis·spring
daladongba44 分钟前
Spring Cloud Gateway
java·spring cloud·gateway
qq_318121591 小时前
互联网大厂Java面试故事:在线教育微服务架构、缓存优化与AI智能教学全流程解析
java·spring boot·redis·微服务·kafka·spring security·在线教育
小镇学者1 小时前
【other】Goofy Node
后端
sunddy_x1 小时前
Java反射
java
热门推荐
01GitHub 镜像站点022025年大语言模型技术全景报告03Linux下V2Ray安装配置指南04UV安装并设置国内源05Labelme从安装到标注:零基础完整指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07Claude Code Skills 实用使用手册08AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南09BongoCat - 跨平台键盘猫动画工具10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)