spring-session-core导致的接口调用问题,排查记录

盖丽男2023-11-07 11:37

问题出现

最近需要开发几个open接口,给其他端用,所以是不需要进行是否登录的鉴权的,用户管理那边提供的框架也留了口子,可以通过设置排除链接来不鉴权,比如排除掉所有/openapi/*的接口调用。

但是有一个问题,配置好之后,使用postman来调用,第一次调用正常,之后再调用在postman那看,好像啥也没返回,从代码这边看,是因为鉴权没通过所以跳404,就很奇怪,我一开始用的chrome的插件版postman,折腾半天搞不定啊,后来我把插件卸载再重新安装,就又能调通一次。但是因为插件版的很多设置找不到入口,所以我又安装了软件版的postman,发现每次调用完之后,接口返回值会在cookie中设置一个SESSION=XXXXX之类的东西,然后postman就会把这个东西存在cookie中,下次调用发给后端,后端会拿这个东西去查权限,一查查不到,就报错了,

简单解决

知道了表现,可以针对这个表现先简单解决一下,是的,就是每次调用完接口就手动删除一次cookie中的session,就这么用了几天,后来觉得太麻烦了,就想看下是哪里在设置,是不是能从根本上解决问题。

排查

已知:

  • 系统里获取用户的方式,是从session中取用户
  • cookie中设置的对象是SESSION作为key的

所以我怀疑这是SSO那边搞的,而且表现是cookie中设置了东西,我想的是把我这几个open接口的cookie清除一下

第一步:清除cookie法

因为我有一个处理所有open接口的controlleradvice,所以我就想能不能利用上,查了一下可以用利用@ControllerAdvice和ResponseBodyAdvice来处理,所以我写了一版,在beforeBodyWrite里将cookie中的SESSION删除,试了一下果然不行,而且我发现不管我的@ControllerAdvice的order设置多少都不行,所以这条路走不通,但是原因我好像还没找到,有懂的请评论告诉我吧。

第二步:查根本原因

我之所以一开始选择第一版,就是因为我不知道这个SESSION是啥时候设置的,所以我只能曲线救国,结果失败了,所以还是要直面这个问题,但是程序里引了那么多的包,我咋知道是哪里这么写了一句呢,我先把sso的包排查了一遍,没找到哪里设置cookie,也没找到设置session的地方,然后全局搜索"SESSION",真的被我找到一个地方,有一个@Bean,是获取CookieSerializer的,里面有一句

java 复制代码 
defaultCookieSerializer.setCookieName("SESSION");

我试着改了一下这个cookiename里的内容,比如改成"SESSIONAAA",接口返回的cookie里,果然也跟着变成了SESSIONAAA。然后看了一下,CookieSerializer属于spring-session-core包,有了目标就好说了。

第三步:排除接口

找到了具体包,我的第一反应肯定是查下有没有啥配置项,可以排除掉我的open接口的,尝试了这种方式:博客系统用户会话管理,亲测不行,还是设置SESSION,然后我询问了claude,他说可以重写CookieSerializer,不过我看了一下,项目中已经有了一个CookieSerializer的Bean,可以在这个基础上改。

解决

下面详细写一下解决方式:

首先自己写一个CookieSerializer继承默认的DefaultCookieSerializer

java 复制代码 
@Configuration
public class CustomCookieSerializer extends DefaultCookieSerializer {
	@Override
	public void writeCookieValue(Cookievalue cookievalue){ 	
	if(!(ServletRequestAttributes) (RequestontextHolder .currenteqvestAttributes()).getRequest).getRequestURI().startswith("/openapi/"){
			super.writeCookievalue(cookievalue):
			}
	}
	
}

然后通过自定义的那个Bean把咱们自定义的这个返回去。

java 复制代码 
    @Bean
    public CookieSerializer cookieSerializer() {
        CustomCookieSerializer serializer = new CustomCookieSerializer();
        serializer.setCookieName("SESSION");
        serializer.setCookiePath("/");
        return serializer;
    }

然后就可以啦。

关联一下上一篇:spring-session-core排除某些接口不设置session

相关推荐
微露清风25 分钟前
系统性学习C++-第五讲-内存管理
java·c++·学习
计算机毕业设计木哥29 分钟前
计算机毕业设计选题推荐:基于SpringBoot和Vue的快递物流仓库管理系统【源码+文档+调试】
java·vue.js·spring boot·后端·课程设计
2351633 分钟前
【LeetCode】146. LRU 缓存
java·后端·算法·leetcode·链表·缓存·职场和发展
聪明的笨猪猪37 分钟前
Java Redis “运维”面试清单(含超通俗生活案例与深度理解)
java·经验分享·笔记·面试
FIavor.1 小时前
怎么办这是Apifox里执行http://localhost:9002/goods/getByUserName?name=“张三“为什么我改了还是500?
java·网络·网络协议·http
编程饭碗1 小时前
【Java集合】
java
岁岁岁平安1 小时前
Java的双重检查锁机制(DCL)与懒加载的单例模式
java·单例模式·synchronized·
Jabes.yang1 小时前
Java面试场景:从Spring Boot到Kubernetes的技术问答
java· 面试· spring boot· 微服务· kubernetes· 技术栈· redis
小咕聊编程1 小时前
【含文档+PPT+源码】基于SpringBoot+Gpt个人健康管理系统
java·gpt·tomcat·毕业设计·hibernate
阿无,1 小时前
Java设计模式之工厂模式
java·开发语言·设计模式
热门推荐
01BongoCat - 跨平台键盘猫动画工具02两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答03GitHub 镜像站点04智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践05UV安装并设置国内源06Linux下V2Ray安装配置指南07GitLab 零基础入门指南:从安装到项目管理全流程082025羊城杯网络安全大赛 wp09Cursor Plan Mode:AI 终于知道先想后做了10Spring Boot 实现微信登录,So Easy !