一、现象
同一台服务器有两个不同域A(端口:9000)和域B(端口:8000),应用CA在域A中,应用CB在域B中,都使用session保存登录状态,进行如下操作
在同一浏览器中,先登录应用CA,再登录应用CB,然后切回应用CA,发现CA的session丢失,需要重新登录
经过调查发现,切回CA的时候,JSESSIONID被覆盖成了请求CB的JSESSIONID
二、原因
因cookie冲突导致session丢失
三、原理
1. session原理
我们在保存登录状态的时候,后台服务一般都会编写如下代码
request.getSession().setAttribute("admin", userInfoVo);
此时后端服务会在本地开辟一块内存,记录用户的相关信息。同时生成一个JSESSIONID,用于记录这个session属于哪个客户端。
服务器对当前的HTTP请求首次响应时,会返回一个sessionid要求浏览器写入本地cookie中,对应的返回的HTTP响应头部信息应该会是是这个样子的:set-cookie:JSESSIONID=xxxxxxx,浏览器解析到这个头之后就会在当前生成一个cookie关联当前的域名。
当再次请求的时候(非首次请求),浏览器会在请求头里将cookie发送给服务器(每次请求都是这样)
服务器根据cookie中携带的JSESSIONID,在内存中寻找属于这个客户端的session,判断是否已登录
交互时序图如下:
2. cookie覆盖机制
那为什么这里JSESSIONID被覆盖了呢?
如果一个新的cookie与一个已存在的cookie的NAME、Domain和Path属性值均相同,则旧的cookie会被丢弃
WebLogic的Cookie相关配置:
| 属性名 | 默认值 | 值 |
|---|---|---|
cookie-name | JSESSIONID | 如未设置,默认为“JSESSIONID” |
cookie-path | NULL | 如未设置,默认为“/” |
cookie-domain | NULL | 如未设置,默认为发放cookie的服务器的域 |
由于我这里没有设置cookie-name和cookie-path,应用CA和应用CB的IP地址一样,所以CA和CB的cookie会互相覆盖,从而导致session丢失
四、解决办法
因为我这里是 springboot 工程,直接在配置文件里设置
server.session.cookie.name=CA
修改默认的cookie-name
其他类型工程搜索对应的关键字,就可以了