2. 程式人生 > >http請求中沒有set-cookie,卻產生了jsessionid;tomcat產生兩個sessionid,一個是自定義的sessionid(customSessionId),一個是預設的jsess

http請求中沒有set-cookie,卻產生了jsessionid;tomcat產生兩個sessionid,一個是自定義的sessionid(customSessionId),一個是預設的jsess

阿新 發佈:2019-01-25

背景

專案使用了spring session,並用redis儲存,以實現分散式環境下session同步;檢視dev tools—>network時發現,有兩個sessionid,一個是spring session中指定的customSessionId,一個是tomcat預設的jsessionid,
這裡寫圖片描述

<!--spring-applicationcontext.xml中指定的customSessionId-->
<bean id="defaultCookieSerializer"
          class="org.springframework.session.web.http.DefaultCookieSerializer"
 
>
        <property name="cookieName" value="customSessionId" />
        <property name="cookiePath" value="/" />
</bean>

這裡我就產生了疑問?明明指定了sessionId為什麼還會有預設的jsessionid?既然spring統一管理了session就不會再有新session了呀?!並且在check network中請求後,卻發現沒有任何請求產生jsessionid,但是application中的的確確產生了jsessionid!

問題

截止到現在產生了兩個問題,

  • http請求中沒有set-cookie,卻產生了jsessionid
  • tomcat產生兩個sessionid,一個是自定義的sessionid(customSessionId),一個是預設的jsessionid;

探索

意想不到的source map

為了查清楚第一個問題,使用了排除大法,使用折半刪除,最終定位到jquery-migrate-1.1.1.min.js這個檔案,如果不引用此檔案則沒有jsessionid,為了排除js建立jsessionid的可能,搜尋檔案內容並未發現jsessionid或cookie的程式碼,這時想到chrome的請求與fiddler的請求不一樣讓fiddler抓包也許能看到不一樣的東西,
這裡寫圖片描述


果然不一樣,憑空多了jquery-migrate.min.map請求且產生了jsessionid,幾經搜尋,得知這是source map,相當於min.js檔案對應的原始碼,chrome dev tools預設會下載此檔案,至此我們明白了,因為是chrome瀏覽器本身傳送的,所以在network中看不見而fiddler卻能抓出來。
當然,我們可以關閉下載source map,

dev tools---->settings--->sources--->enable javascript source maps 去掉勾選

jsp中的session

我們注意到min.map請求響應程式碼是404,並且產生了jsessionid,沒有辦法只能跟蹤java原始碼,追蹤到StandardHostValve,執行完invoke方法後,就會產生setCookie,可以排除filter產生jsessionId的可能,再看404.jsp,發現沒有指定session=”false”,所以會建立session,在invoke方法這一步等於執行了request.getSession(),因為這時的request已經是原始的request,未經spring包裝的request肯定會產生原始的jsessionid,所以有兩個sessionid,通過在404.jsp中指定session=”false”就不會再從產生jsessionid;
這裡寫圖片描述

原理

再回過頭來說一下這個事情的原理,
spring session的原理是通過filter,暫且就叫它SpringSessionFilter吧,document要求它必須放在最前邊,這樣就能保證它會比其他filter先執行,它將tomcat的request、reponse,封裝為spring的request、response,從而後邊的filter/controller…獲取到的request、response都是spring的request、response,這樣在controller中request.getSession()肯定是spring制定的springSessionId。

public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain)
            throws IOException, ServletException;

但是StandardHostValve在springsessionfilter的前邊執行(看上圖的執行緒棧),所以它獲取到的request、response仍然是原始的,所以此時request.getSession()獲取到的就是原始的jsessionid。

引出來的段子

由於無法debug tomcat原始碼,所以standardhostvalve具體功能無從推斷,這個還引出tomcat打原始碼包的段子

後記

通過這個問題,在跟蹤原始碼階段,基本瞭解了spring session原理以及shiro的session原理,filter、filter chain、proxiedfilterchain,跟原始碼受益無窮呀。

參考

相關推薦

http請求沒有set-cookie產生jsessionidtomcat產生sessionid一個定義sessionid(customSessionId),一個預設jsess

背景 專案使用了spring session,並用redis儲存,以實現分散式環境下session同步;檢視dev tools—>network時發現,有兩個sessionid,一個是spring session中指定的customSessionId,一

linux系統一個tomcat配置域名每個域名對應一個專案

由於專案的需要,我們公司有兩個域名,每個域名對應一個專案,這樣我們就可以使用不同的域名訪問不同的專案了, 我們的網站使用的是web伺服器Tomcat,框架是自己封裝的簡易版jsp-servlet,域名

疫情下我選擇離職... 工作三年老程式設計師談談職業規劃

  疫情之下,確實行情不好,相比去年招聘資訊少了很多,因為去年這個時候我也在跳槽。建議:不是非要離職的話,以穩為主,不要瞎跳!!!有錢任性的話,隨意了   疫情離職   疫情之下的面試益處    疫情之下帶來的跳槽好處,就是面試帶來了方便,之前面試你必須要去公司,你說可以電話面試麼?HR一定會說:不可以!!!

SpringMVC常用註解2獲取http請求cookie,header和ServletAPI

[email protected]註解獲取cookie中的值 @RequestMapping("/ShowCookie") public String showCookieV

Http請求post和put的區別

 有的觀點認為,應該用POST來建立一個資源,用PUT來更新一個資源;有的觀點認為,應該用PUT來建立一個資源,用POST來更新一個資源;還有的觀點認為可以用PUT和POST中任何一個來做建立或者更新一個資源。這些觀點都只看到了風格,爭論起來也只是爭論哪種風格更好,其實,用

Vue使用反向代理模擬http請求host和referer騙過Web伺服器對請求的限制

host:翻譯的意思是主機,它在window.location中的作用是設定或返回當前URL的主機名和埠號referer:HTTP referer 是header的一部分,當瀏覽器向Web伺服器傳送請求的時候,一般會帶上referer,告訴伺服器我是從哪個頁面過來的,伺服器基

HTTP 冷知識 | HTTP 請求空格應該被編碼為 %20 還是 + ?

HTTP 請求中,空格應該被編碼為什麼?今天我們走進 RFC 文件和 W3C 文件,瞭解一下這個「史詩級」大坑。 1.%20 還是 + ? 開始講解前先看個小測試,在瀏覽器裡輸入 blank test( blank 和 test 間有個空格),我們看看瀏覽器如何處理的: 從動圖可以看出瀏覽器把空格解析為一

HTTP請求的form data,request payload,query string parameters以及在node服務器如何接收這些參數

orm function log tab 參數 title 方法 ext head http://www.cnblogs.com/hsp-blog/p/5919877.html 今天,在工作(倒騰微信小程序)的時候,發現發送post請求到node後臺服務器接收不

HTTP協議---HTTP請求的常用請求字段和HTTP的響應狀態碼及響應頭

length lin div 處理過程 o-c 繼續 意義 span utf 基本 HTTP 協議 打開瀏覽器,輸入服務器 IP,例如 http://192.168.0.3,如果端口號不80,例如是 8000,則輸入 http://192.168.0.3:8000 。這時瀏

HTTP請求get和post的區別是什麽

信息 兩種 緩存 數據 request 取數 安全性 body 數據類型 GET和POST是Http請求中最常用的兩種請求方法 首先介紹GET與POST的差異:   (1)GET請求資源數據,POST向服務器傳遞需要處理的數據   (2)GET傳遞數據大小不超過2kb,PO

關於http請求from參數重定向的使用

TP 進行 from www request 獲取 return http請求 mce 如 www.baidu.com?from=indexdef index(request):  url = request.GET.get("from") #從url中獲取ge

LoadRunner接口HTTP請求中文亂碼解決方案

空格 con value 發送 nbsp toe string ner 字符串 今天項目經理要求壓一下實時代扣接口性能。那就開始寫腳本,腳本寫好調試發現接口請求參數姓名輸入中文亂碼。接著就網上找資料解決該問題。 1:想法:將中文轉成UTF-8,lr_convert_stri

HTTP請求的form data和request payload的區別(request 後臺無法獲取參數)

origin logger res 部分 padding ble 處理 代碼 恰恰 轉載自:btg.yoyo jQuery的ajax方法和post方法分別發送請求,在後臺Servlet進行處理時結果是不一樣的,比如用$.ajax方法發送請求時(data參數是一個JSON.

http請求content-type的那些事兒

在jquery+ajax盛行的年代裡,前後端互動實在太方便了,ajax發起一個請求就是這麼簡單 $.ajax({ url:'', type:'post', data:{},//引數 ... }) 久而久之,裡面很多的細節都被我們忽略了,等到有一天,沒有jque

JavaWEB HTTP請求POST與GET的區別

get 和post方法.在資料傳輸過程中分別對應了HTTP協議中的GET方法和POST方法. 主要區別: GET從服務其獲取資料;POST上傳資料. GET將表單中的資料按照variable=value的形式,新增到action所指向的URL後面.並且兩者使用了"?"連線,個個變

http請求的重要方法內容

HttpServletRequest物件 HttpServletRequest物件作用是用於獲取請求資料。  核心的API:請求行: request.getMethod();   請求方式 request.getRequetURI()   / r

詳解Http請求Content-Type講解以及在Spring MVC的應用

activit allow 視頻 標註 範圍 password length ted back 詳解Http請求中Content-Type講解以及在Spring MVC中的應用 引言: 在Http請求中,我們每天都在使用Content-type來指定不同格式的請求信息,但是

HTTP請求的form data,request payload,query string parameters

Query String Parameters 當發起一次GET請求時,引數會以url string的形式進行傳遞。即?後的字串則為其請求引數,並以&作為分隔符。 Form Data 當發起一次POST請求時,若未指定content-type,則預設content

Express HTTP請求請求訊息(req)和響應訊息(res)

Request req 物件代表了一個HTTP請求,其具有一些屬性來儲存請求中的一些資料,比如query string,parameters,body,HTTP headers等等。在本文件中,按照慣例,這個物件總是簡稱為 req ( http響應簡

Http請求Content-Type

1.  Content-Type   MediaType,即是Internet Media Type,網際網路媒體型別;也叫做MIME型別,在Http協議訊息頭中,使用Content-Type來表示具體請求中的媒體型別資訊。 [html]  vie