【BUG排查记】HttpUtil和SpringSecurity结合的坑

一、背景

最近为了做微服务高可用和优化上线流程，我参与了一个微服务的改造开发。
　　　主要包括redis切换哨兵模式、接入高可用xxljob集群、配置和升级脚本优化。

二、问题描述

项目改造提测后，测试发现一个依赖远程http调用的功能不可用

三、问题分析

查看被调用方日志发现通用Token解析错误如下图

说明调用时传入了错误的Token，查看调用方代码：

# 使用hutool工具发起远程http请求
HashMap<String, String> headers = getHeader(modelSyncGitDto);
HttpRequest request = HttpUtil.createRequest(Method.POST, url);
HttpResponse execute = request
        .addHeaders(headers)
        .timeout(2000)
        .body(JSONUtil.toJsonStr(modelSyncGitDto))
        .execute();
# 通用工具生成jwt token放入header
private HashMap<String, String> getHeader(ModelSyncGitDto modelSyncGitDto){
    String userJwtToken = JwtUtils.getJwtToken(filterConfig.getAcSecret(),null,modelSyncGitDto.getComputerUserName(),modelSyncGitDto.getOsName());
    HashMap<String, String> headers = new HashMap<>(200);
    headers.put("Token", userJwtToken);
    return headers;
}

以上调用代码无问题，继续排查被调用方解析token的代码

# 被调用方获取token
String token = CookieUtils.resolveCookie(request, tokenKey);
if (Objects.isNull(token) || token.isBlank()){
    token = request.getHeader(tokenKey);
}
if (Objects.isNull(token) || token.isBlank()){
    token = request.getParameter(tokenKey);
}
return token;

发现被调用方优先从cookie获取代码，未从header获取对应Token；
调用方未设置cookie，怀疑是请求后response缓存带的。增加调用方日志查看

log.info("http请求返回，cookie={}", execute.getCookies());

请求返回后在response设置了cookie，但每次请求都是createRequest，理论不会携带cookie。添加disableCookie验证一下：

# 创建request增加禁用cookie
HttpRequest request = HttpUtil.createRequest(Method.POST, url);
HttpResponse execute = request
        .disableCookie()
        .addHeaders(headers)
        .timeout(2000)
        .body(JSONUtil.toJsonStr(modelSyncGitDto))
        .execute();

发布后恢复正常，说明请求携带了cookie信息。
后期查看文档hutool的HttpUtil的确有这么一个缓存cookie的问题，参考

https://github.com/dromara/hutool/issues/583

四、梅开二度

提交代码并告诉测试妹纸"修复好了"。测试验证的确无问题，但遭到测试妹纸的灵魂拷问：
"线上为啥没问题，这次版本不允许夹杂额外代码上线"。
　　的确，还是要找到问题的原因。

4.1 配置对比

通过对比线上配置，发现被调用方的common依赖引入了

server:
  servlet:
    session:
      # session超时时间，不能小于1分钟
      timeout: 481m
      # 浏览器 Cookie 中 SessionID 名称
      cookie:
        name: Token
        path: /
      tracking-modes: COOKIE

以上配置指定了cookie key为Token，且过期时间为8小时；去掉被调用方以上配置，调用方请求打印cookie如下；
无server.servlet.session配置：

说明被调用方spring security默认会将Cookie设置在当前应用所在的域下放置SESSION。

4.2 二次请求

无server.servlet.session配置：

cookie中返回了SEESION和Token，初步怀疑是缓存返回导致；

4.2 日志对比

相同代码，通过对比其他环境调用方打印的日志，方向无论有无server.servlet.session配置，返回的response都为空

说明还是代码配置问题。

4.3 终极原因

当调用方请求被调用方时，配置的ip不是localhost、127.0.0.1、节点IP时，请求调用返回的response都不会携带cookie。

HttpUtil通过配置请求ip，cookie跨域导致cookie无法保存，也无法携带。
线上httpUtl发起的请求ip为另一台服务器nginx地址，返回的response无cookie。

五、总结

以上问题原因为2个导致：

1. 本版本hutool的HttpUtil请求缓存了上一次请求的cookie，并在下一次携带；
2. Spring Security 默认会将Cookie设置在当前应用所在的域下，即localhost。请求方也为localhost所在节点，由于http同源策略，导致返回的response中存在cookie。