分析HttpServletRequest的sessionId不一致的原因

Posted 2022-12-05 ଳxin

事情是这样的：

在接口①存入session，接着在接口②获取session，结果：同一个key，却打印为空！！！

为何不同？

一、从session的原理上来看：

session的工作原理就是依靠cookie来做支撑，第一次使用request.getSession()时session被创建，
并且会为该session创建一个独一无二的sessionid存放到cookie中，然后发送会浏览器端，
浏览器端每次请求时，都会带着这个sessionid，服务器就会认识该sessionid，
知道了sessionid就找得到哪个session。以此来达到共享数据的目的。 
这里需要注意的是，session不会随着浏览器的关闭而死亡，而是等待超时时间。 

 

二、因此我先通过在后端打印sessionId来找问题所在：

 

 

 结果发现：除第二个接口，其它接口的sessionId都相同。

那我们重点关注第二个接口！！

但是后端无问题，于是猜测bug在前端。

 

三、从cookies的同源策略来看：

需保证：1.协议相同      2.域名相同      3.端口相同。

 

四、前后端分离下的跨域问题：

前端应设置axios强制携带cookie：

 后端写一个CorsConfig跨域类：

/*
* 解决跨域问题
* */
@Configuration
public class CorsConfig implements WebMvcConfigurer 
    @Override
    public void addCorsMappings(CorsRegistry registry) 
        // 设置允许跨域的路径
        registry.addMapping("/**")
                // 设置允许跨域请求的域名
                .allowedOrigins("*")
                .allowedHeaders("*")
                // 是否允许证书 不再默认开启
                .allowCredentials(true)
                // 设置允许的方法
                .allowedMethods("*")
                // 跨域允许时间
                .maxAge(3600);
    

 

五、检查协议+域名+端口

结果，确实是ip写错了(造成后端以为这个接口，不满足同源)！！卧兔了...

睡觉！