SpringBoot2.x版本中,使用SpringSession踩的坑及解決
SpringBoot2.x SpringSession踩坑
Exception encountered during context initialization – cancelling refresh attempt: org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘org.springframework.boot.autoconfigure.session.SessionAutoConfiguration$ServletSessionRepositoryValidator’: Invocation of init method failed; nested exception is org.springframework.boot.autoconfigure.session.SessionRepositoryUnavailableException: No session repository could be auto-configured, check your configuration (session store type is ‘redis’)
這是因為缺少瞭spring-session-data-redis依賴。
關於SpringBoot2.X中,引用SpringSession,同時使用Redis存儲緩存數據需要進行如下配置:
<!--SpringSession依賴--> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-core</artifactId> </dependency> <!--SpringSessionRedis依賴--> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dependency>
#使用使用Redis緩存session數據 spring.session.store-type=REDIS #Redis服務器地址 spring.redis.host=127.0.0.1 #Redis服務器端口號 spring.redis.port=6379
總結:
在SpringBoot2.x的版本中,引用spring-session-core時,不是對spring-session-data-redis進行加載,需要用戶自己添加關於spring-session與redis的關聯依賴。
springboot 2.x 踩坑——跨域導致session問題
目前IT界主流前後端分離,但是在分離過程中一定會存在跨域的問題。
什麼是跨域?
是指瀏覽器從一個域名的網頁去請求另一個域名的資源時,域名、端口、協議任一不同,都是跨域。
遇到的場景
當我們用springboot + shrio +vue 來做後臺管理的項目時,無法獲取shiroSession當前登錄的用戶,
於是我們就排查,網上說在跨域時讓session通過就可以瞭
後端
@Configuration
public class CorsConfig {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.setAllowCredentials(true);
// 允許任何域名使用
corsConfiguration.addAllowedOrigin("*");
// 允許任何頭
corsConfiguration.addAllowedHeader("*");
// 允許任何方法(post、get等)
corsConfiguration.addAllowedMethod("*");
corsConfiguration.setMaxAge(3600L);
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
// 對接口配置跨域設置
source.registerCorsConfiguration("/**", buildConfig());
return new CorsFilter(source);
}
}
前端
axios.defaults.withCredentials=true;
但是設置後依舊不行
經過一天的百度與排查,我回滾到springboot 1.x 居然沒有這個問題,才定位到是升級到springboot 2.x導致的原因,好瞭,已經抓住兇手瞭,這下子好對癥下藥瞭,去網上看瞭 springboot升級到2.x spring session 相關的問題。
終於發現瞭新大陸,spring-session 2.x 中 Cookie裡面居然引入瞭SameSite 這個叼毛,他默認值是 Lax,好瞭咱們來看看這個是什麼東西?
SameSite Cookie 是用來防止CSRF攻擊,它有兩個值:Strict、Lax
SameSite = Strict:
意為嚴格模式,表明這個cookie在任何情況下都不可能作為第三方cookie;
SameSite = Lax:
意為寬松模式,在GET請求是可以作為第三方cookie,但是不能攜帶cookie進行跨域post訪問(這就很蛋疼瞭,我們那個校驗接口就是POST請求)
總結:前端請求到後臺,每次session都不一樣,每次都是新的會話,導致獲取不到用戶信息
解決方案:
將SameSite設置為空
@Configuration
public class SpringSessionConfig {
@Bean
public CookieSerializer httpSessionIdResolver() {
DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
// 取消僅限同一站點設置
cookieSerializer.setSameSite(null);
return cookieSerializer;
}
}
問題解決!!
以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。
推薦閱讀:
- SpringBoot 整合 Spring-Session 實現分佈式會話項目實戰
- SpringBoot整合SpringSession實現分佈式登錄詳情
- Redis快速實現分佈式session的方法詳解
- 詳解Springboot應用中設置Cookie的SameSite屬性
- SpringBoot詳解如何整合Redis緩存驗證碼