跨域访问sessionid不一致问题
在开发过程中遇到这么一个问题,让我花了一个下午的大好时光才解决。但是解决玩之后,发现那么的容易。就是查找资料的时候很费劲。这里把问题记录一下。
问题的产生
- 流程是这样的,要做一个用户登录的接口。在登录页面,前端先请求验证码,然后输入用户名密码和验证码之后,请求登录接口。
- 这里存在两个接口,验证码接口和登录接口。在验证码接口中我用session保存验证码,在登录接口中我从session取出验证码进行校验。
两个接口的代码如下:
@RequestMapping("/getImageCode")
public void getImageCode(HttpServletRequest request,
HttpServletResponse response) throws IOException {
response.setDateHeader("Expires", 0);
response.setHeader("Cache-Control",
"no-store, no-cache, must-revalidate");
response.addHeader("Cache-Control", "post-check=0, pre-check=0");
response.setHeader("Pragma", "no-cache");
response.setContentType("image/jpeg");
String capText = captchaProducer.createText();
request.getSession().setAttribute(Constants.KAPTCHA_SESSION_KEY,capText);
logger.info("code is "+capText+" session id is "+request.getSession().getId());
BufferedImage bi = captchaProducer.createImage(capText);
ServletOutputStream out = response.getOutputStream();
ImageIO.write(bi, "jpg", out);
try {
out.flush();
} finally {
out.close();
}
}
@RequestMapping(value = "/login",method = RequestMethod.POST)
public ModelMap login(HttpServletRequest request){
ModelMapHelper helper = new ModelMapHelper();
String userName = request.getParameter("userName");
String password = request.getParameter("password");
String imgCode = request.getParameter("imageCode");
String sessionCode = (String) request.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY);
logger.info("input code is "+imgCode+" session id is "+request.getSession().getId());
if(StringUtils.isEmpty(imgCode)){
helper.setErrorMap("验证码不能为空");
return helper;
}
if(!imgCode.equals(sessionCode)){
helper.setErrorMap("验证码不正确");
return helper;
}
try {
User user = userService.checkLogin(userName, password);
if (user == null) {
helper.setErrorMap("用户名或密码错误");
return helper;
}
helper.setSuccessMap("登录成功");
helper.setData(user);
request.getSession().setAttribute("user",user);
}catch (GeneralException g){
g.printStackTrace();
logger.warn(g.getMessage(),g);
helper.setErrorMap(g.getMessage());
}catch (Exception e){
e.printStackTrace();
logger.error("查询失败",e);
helper.setInternalErrorMap();
}
return helper;
}*经过postman工具简单的接口测试之后,没有问题。但是与前端进行接口联调的时候发现了问题。
两次获取的sessionid不一致,导致在登录时候,没有获取session中的验证码!
查找原因
百思不得其解!为什么用postman测试是正常的呢?而与前端联调就有这种问题。
原来后台是做了一个跨域访问的设置
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
}
// 设置跨域访问
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "TRACE")
.allowCredentials(true);
}
}主要解释如下:
registry.allowedOrigins(““)设置跨域访问的域名,如果是,默认都可以访问。
这个方法是后来找到问题后,自己加上去的
registry.allowCredentials(true)设置是否允许客户端发送cookie信息。默认是false
具体关于这些头信息的解释可以参考:
http://www.ruanyifeng.com/blog/2016/04/cors.html
解决问题
其实最后就做了两件事情,
1. 服务端设置可以接收cookie信息
registry.allowCredentials(true)- 在ajax请求中设置发送cookie信息
$.ajax({
url: a_cross_domain_url,
xhrFields: {
withCredentials: true
}
});再看看结果,sessionid就一致了。
参考的博客:
https://segmentfault.com/q/1010000002905817
