背景
1、后端统一接入了公司内部登录系统,登录后cookie信息在域名:test.net.cn下。
Set-Cookie:SESSION=09a2f617-66a0-4e02-b99f-130d83900321; Domain=test.net.cn; Path=/; HttpOnly; SameSite=Lax
2、当我们的系统接入到统一登录系统后,若访问域名为a.test.net.cn,则不会出现问题,因为在他的子域名下,cookie是共享的,当跳转到我们系统后
sessionid是不会重新生成的,没问题
3、当我们的系统接入到统一登录系统后,若访问域名为a.test.net.cn:2531,则就会出现问题,因为域名不同,请求到后端,框架会认为本次请求不是同一个会话,
所以会在a.test.net.cn下再次写入一个cookie携带sessionId(说明:cookie的写入,domain是自动过滤端口的)
解释:
后端什么时候会判断写入cookie了,requset.getSeesion().getAttribute("");这个方法就会写入,查看源码可知,request.getSession();这个方法,默认为:
若本次请求的host下没有sessionId,则判断为新的会话,会重新创建一个sessionId,并写入到响应头里去:
Set-Cookie:SESSION=09a2f617-66a0-4e02-b99f-130d83900321; Domain=test.net.cn; Path=/; HttpOnly; SameSite=Lax解决方案:
1、添加cookie写入值配置
import org.springframework.session.web.http.DefaultCookieSerializer;
public class NonWriteCookieSerializer extends DefaultCookieSerializer {
@Override
public void writeCookieValue(CookieValue cookieValue) {
}
}
2、配置后端cookie配置
pattern: ^.+?\.(\w+\.\w+\.[a-z]+)$
@Bean
public DefaultCookieSerializer defaultCookieSerializer() {
DefaultCookieSerializer cookieSerializer = new NonWriteCookieSerializer();
cookieSerializer.setDomainNamePattern(pattern);
cookieSerializer.setUseBase64Encoding(false);
return cookieSerializer;
}
注意:\的问题,直接写入到字符串里面为:
cookieSerializer.setDomainNamePattern("^.+?\\.(\\w+\\.\\w+\\.[a-z]+)$");
该正则表达式为任意域名,也就是和当前的cookie会话域名保持一致
3、设置request.getSession()方法,防止重复写入session
request.getSession(false).getAttribute(Constants.SESSION_ATTRIBUTE_USER);
这样可以防止重新创建sessionId,以及就算框架写入cookie其实值也是写不进去的,保证每次会话请求的sessionId与test.net.cn保持一致。
大功告成:这样就算登录的域名和子系统的域名不在同一个域名下,也可以通过spring-session-data-redis保持登录的统一性
建议:作为正式系统,还是建议各个子系统和登录系统在同一个域名下,这样才是最合规的
标签:redis,跨域,spring,写入,域名,cookie,test,net,cn From: https://www.cnblogs.com/xzlnuli/p/18193794