我想将我的 Spring Webflux 项目从 Spring Boot 2.0.1 升级到 Spring Boot 2.0.3。在我的项目中,我的 session 由 Spring Session Data Redis 支持。在升级 Spring Boot 版本时,我注意到 Spring Boot 2.0.2+ 的 websession 失效问题。
在 Spring Boot 2.0.1 中,我以这种方式使我的 session 无效:
webSession.invalidate().subscribe();
这导致我当前的 session 被销毁,并生成了一个新的 session ID、创建时间等。
但是,从 Spring Boot 2.0.2 开始,相同的代码似乎并没有完全破坏 session 。当前 session 信息只是被“清除”,之后仍然使用相同的 session ID。这是一个问题,因为它会导致 ReactiveRedisOperationsSessionRepository.class 中出现空指针异常:
private static final class SessionMapper implements Function<Map<String, Object>, MapSession> {
private final String id;
private SessionMapper(String id) {
this.id = id;
}
public MapSession apply(Map<String, Object> map) {
MapSession session = new MapSession(this.id);
session.setCreationTime(Instant.ofEpochMilli((Long)map.get("creationTime")));
session.setLastAccessedTime(Instant.ofEpochMilli((Long)map.get("lastAccessedTime")));
session.setMaxInactiveInterval(Duration.ofSeconds((long)(Integer)map.get("maxInactiveInterval")));
map.forEach((name, value) -> {
if (name.startsWith("sessionAttr:")) {
session.setAttribute(name.substring("sessionAttr:".length()), value);
}
});
return session;
}
}
由于 session 数据为空(没有创建时间等),以下行引发 NPE:
session.setCreationTime(Instant.ofEpochMilli((Long)map.get("creationTime")));
这是错误还是我错过了 Spring Boot 2.0.2+ 中有关 Spring Session 的新内容?
更新
为了提供更多信息,我创建了一个重现该问题的示例项目:https://github.com/adsanche/test-redis-session
这个项目包含一个简单的 Controller ,暴露两个端点:
@Controller
public class HelloController {
@GetMapping(value = "/hello")
public String hello(final WebSession webSession) {
webSession.getAttributes().put("test", "TEST");
return "index";
}
@GetMapping(value = "/invalidate")
public String invalidate(final WebSession webSession) {
webSession.invalidate().subscribe();
return UrlBasedViewResolver.REDIRECT_URL_PREFIX + "/hello";
}
}
使用Spring Boot 2.0.1运行项目时的行为
转到第一个端点: http://localhost:8080/hello
Redis 中的 session 状态:
我们注意到 session ID 以 7546ff 开头, session 数据包含“测试”属性以及默认 session 信息(创建/上次访问时间等)。
- 转到第二个端点: http://localhost:8080/invalidate
当前 session 失效,在“/hello”上执行重定向,在新的网络 session 中添加测试属性。
- Redis 中新 session 的状态:
我们注意到新的 session ID 以 ba7de 开头,并且新的 session 数据仍然包含测试属性和默认 session 信息。
现在,让我们使用 Spring Boot 2.0.3 在同一个项目上重现这个场景。
使用Spring Boot 2.0.3运行项目时的行为
转到第一个端点: http://localhost:8080/hello
Redis 中的 session 状态:
我们注意到 session ID 以 12d61 开头, session 数据包含“测试”属性以及默认 session 信息(创建/上次访问时间等)。
转到第二个端点: http://localhost:8080/invalidate
Redis 中新 session 的状态:
我们在这里注意到,仍然使用相同的 session ID,但 session 甚至已从其默认信息(创建日期等)中清除。因此,当再次调用它时,在我在原始帖子中提到的位置的 apply() 方法中的响应式(Reactive) redis session 存储库中触发 NPE:
希望这个示例项目有助于确定它是我这边的错误还是实现问题。
最佳答案
这是 Spring Session 的 SpringSessionWebSessionStore 中的错误,或者更具体地说,它的内部 WebSession执行。问题是在 WebSession#invalidate 上session 仅从底层 session 存储中清除,但未标记为无效,因此后续请求处理仍然使用相同的 session id 结束。
我打开了gh-1114在 Spring session 中解决这个问题。
我相信您以前没有经历过这种情况,即在 Spring session 上 2.0.2.RELEASE及以下由于 SpringSessionWebSessionStore 中的另一个错误在 2.0.3.RELEASE 中得到解决- 参见 gh-1039 .这个问题是关于未能更新 lastAccessedTime ,一旦我们修复了您描述的场景开始失败,因为无效(和删除) session ID 的 session 仅使用 lastAccessedTime 再次保存属性。
关于java - Websession 失效不适用于 Spring Boot 2.0.2,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51196009/