SpringBoot解决跨域导致sessionId不一致的实现方式

 更新时间:2026年04月10日 10:08:51   作者:l去留无心  
本文描述了使用SpringBoot和谷歌kaptcha做验证码登录校验时遇到的跨域问题,并通过设置SameSite属性、使用https和redis等方式解决了问题

SpringBoot解决跨域导致sessionId不一致

在用谷歌的kaptcha做验证码登录校验,将后端发布到阿里云,前端是本地启动,用谷歌浏览器(版本85)访问验证码遇到了如下问题(360浏览器、microsoft edge未重现)

可以定位到是浏览器兼容问题

代码是这样的:

后端先用HttpServletRequest request的getSession().setAttribute将验证码存进session,请求登录的时候再用request.getSession().getAttribute来判断,然后发现请求验证码的sessionId跟请求登录的sessionId不一致,导致提示验证码一直失效。

如下为获取验证码的接口

  @ApiOperation(value = "获取验证码", notes = "此接口用于获取验证码")
    @GetMapping("captcha.jpg")
    public void captcha(HttpServletResponse response, HttpServletRequest request) throws ServletException, IOException {
        response.setHeader("Cache-Control", "no-store, no-cache");
        response.setContentType("image/jpeg");
        // 生成文字验证码
        String text = producer.createText();
        // 生成图片验证码
        BufferedImage image = producer.createImage(text);
        // 保存到验证码到 session
        System.out.println("=============================");
        request.getSession().setAttribute(Constants.KAPTCHA_SESSION_KEY, text);
        System.out.println("生成文字验证码:" + text);
        System.out.println("获取验证码 session:" + request.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY));
        System.out.println("获取验证码 request.getSession().getId():" + request.getSession().getId());
        System.out.println("=============================");
        ServletOutputStream out = response.getOutputStream();
        ImageIO.write(image, "jpg", out);
        IOUtils.closeQuietly(out);
    }

登录的部分接口

@ApiOperation(value = "系统登录", notes = "此接口用于系统登录")
    @PostMapping(value = "/login")
    public ApiResponses login(@RequestBody LoginParam loginPARAM, HttpServletRequest request) {
        String username = loginPARAM.getUsername();
        String password = loginPARAM.getPassword();
        String captcha = loginPARAM.getCaptcha();
        System.out.println("=============================");
        System.out.println("系统登录时 request.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY):" + request.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY));
        System.out.println("系统登录时 request.getSession().getId():" + request.getSession().getId());
。
。
.
}

这种方式请求验证码的时候会带cookie给前端,如下所示,JSESSIONID就是后端的request.getSession().getId(),登录的时候如果设置了跨域,前端会将JSESSIONID返回给后端,后端会进行判断。但是现在的问题就是两次的sessionId不一致。所以还是要检查是否设置对了跨域

检查后端设置的跨域

这是我的跨域配置类,需要注意的是

当allowCredentials为true时

allowedOrigins尽量不要设置为 *

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 允许跨域访问的路径
        registry.addMapping("/**")
                // 允许跨域访问的源
                .allowedOrigins("http://服务器Ip:9528","http://服务器Ip:9001")
                // 允许请求方法
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                // 预检间隔时间
                .maxAge(168000)
                // 允许头部设置
                .allowedHeaders("*")
                // 是否发送cookie
                .allowCredentials(true);
    }
}

前端设置的跨域

前端设置跨域主要为:axios.defaults.withCredentials = true,然后此项目前端如下

const service = axios.create({
  baseURL: process.env.VUE_APP_BASE_API, // url = base url + request url
  withCredentials: true, // send cookies when cross-domain requests
  timeout: 5000 // request timeout
})

寻思着,这样配置也没问题吧。

经过度娘的助攻,终于找出了问题的源头

新版的chrome,加强了防止CSRF攻击,需要设置Cookie的SameSite属性

SameSite的值可以填3个:Strict,Lax,None.

缺省的值为Lax,而且当你设置其为空时,在新的Chrome中还是会给予默认值Lax.

3个模式的介绍

  • Strict:严格模式
  • Lax:宽松模式
  • None:可以在第三方环境中发送cookie

在这种模式下,必须同时启用Secure才行

似乎看到了黎明的曙光,上后端代码

@Configuration
public class SpringSessionConfig {
    // 最新的chrome,设置null会默认成lax 但是如果设置samesite为NONE,又需要设置secure。https支持secure,http不行
    @Bean
    public CookieSerializer httpSessionIdResolver() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        cookieSerializer.setUseHttpOnlyCookie(false);
        cookieSerializer.setSameSite("None");
        cookieSerializer.setCookiePath("/");
        cookieSerializer.setUseSecureCookie(true);
        return cookieSerializer;
    }
}

然后将后端继续发布到阿里云,然而的然而 还是翻车了。。。

再次寻求百度,然后发现要满足https +SameSite("None") +SecureCookie(true)

三者条件才能在高版本的谷歌浏览器访问

但是阿里云是http,那怎么办呢

还有一种解决方法

弃用通过session校验,可以引入redis来做判断

上代码:

@Autowired
private RedisTemplate redisTemplate;
 @ApiOperation(value = "获取验证码", notes = "此接口用于获取验证码")
    @GetMapping("captcha.jpg")
    public void captcha(HttpServletResponse response, HttpServletRequest request) throws ServletException, IOException {
        response.setHeader("Cache-Control", "no-store, no-cache");
        response.setContentType("image/jpeg");
        // 生成文字验证码
        String text = producer.createText();
        // 生成图片验证码
        BufferedImage image = producer.createImage(text);
        // 保存到验证码到 redis 设置1分钟过期
        redisTemplate.opsForValue().set(Constants.KAPTCHA_SESSION_KEY,text,1, TimeUnit.MINUTES);
        ServletOutputStream out = response.getOutputStream();
        ImageIO.write(image, "jpg", out);
        IOUtils.closeQuietly(out);
}
 @ApiOperation(value = "系统登录", notes = "此接口用于系统登录")
    @PostMapping(value = "/login")
    public ApiResponses login(@RequestBody LoginParam loginPARAM, HttpServletRequest request) {
        String username = loginPARAM.getUsername();
        String password = loginPARAM.getPassword();
        String captcha = loginPARAM.getCaptcha();
        Object kaptcha = redisTemplate.opsForValue().get(Constants.KAPTCHA_SESSION_KEY);
。
。
。
}

这样就可以解决啦

问题调整

用如上方法写验证码会有一种问题,就是当多个用户同时请求获取验证码,其中先获取验证码的人就会失效。然后做了如下改进

我弃用了谷歌的kaptcha,重写了验证码。给redis set值的时候同时加上一个token,登录的时候需要返回token来验证

续上部分代码

  /**
     * 生成验证码
     *
     * @return
     */
public CaptchaDTO getCaptcha() {
        //1.在内存中创建一张图片
        BufferedImage bi = new BufferedImage(WIDTH, HEIGHT, BufferedImage.TYPE_INT_RGB);
        // 画布颜色数组
        Color[] colors = new Color[]{Color.BLUE, Color.CYAN, Color.GRAY, Color.GREEN, Color.ORANGE, Color.RED, Color.BLACK};
        //2.得到图片
        Graphics g = bi.getGraphics();
        //3.设置图片的背影色
        setBackGround(g, WIDTH, HEIGHT);
        //4.设置图片的边框
        //setBorder(g,width,height);
        //5.在图片上画干扰线
        drawRandomLine(g, colors, WIDTH, HEIGHT);
        String random = drawRandomNum((Graphics2D) g, colors);
        ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
        try {
            ImageIO.write(bi, "jpg", outputStream);
        } catch (IOException e) {
            e.printStackTrace();
        }
        // 对字节数组Base64编码
        BASE64Encoder encoder = new BASE64Encoder();
        String imageCode = encoder.encode(outputStream.toByteArray()).replaceAll("\r|\n", "");
        String token = JwtTokenUtils.generateCheckCode(random);
        CaptchaDTO captchaDTO = new CaptchaDTO();
        captchaDTO.setCodeToken(token);
        captchaDTO.setImageCode(imageCode);
        // 保存到验证码到 redis 设置1分钟过期
        redisTemplate.opsForValue().set(Constants.KAPTCHA_SESSION_KEY + token, random, 1, TimeUnit.MINUTES);
        return captchaDTO;
    }
// 登录部分代码
    String username = loginPARAM.getUsername();
        String password = loginPARAM.getPassword();
        String imageCode = loginPARAM.getImageCode();
        String codeToken = loginPARAM.getCodeToken();
        // 校验验证码
        String code = (String) redisTemplate.opsForValue().get(Constants.KAPTCHA_SESSION_KEY + codeToken);
        if (StringUtils.isBlank(code)) {
            ApiAssert.failure(ErrorCodeEnum.KAPTCHA_NOT_FOUND);
        }
        // 清除token,防止重用
        redisTemplate.delete(Constants.KAPTCHA_SESSION_KEY + codeToken);
        if (!imageCode.equalsIgnoreCase(code)) {
            ApiAssert.failure(ErrorCodeEnum.KAPTCHA_ERROR);
        }

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • SpringBoot中使用MyBatis-Plus详细步骤

    SpringBoot中使用MyBatis-Plus详细步骤

    MyBatis-Plus是MyBatis的增强工具,简化了MyBatis的使用,本文通过实例代码给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧
    2025-01-01
  • Java中的延迟队列DelayQueue源码解析

    Java中的延迟队列DelayQueue源码解析

    这篇文章主要介绍了Java中的延迟队列DelayQueue源码解析,DelayQueue是一个支持并发的无界延迟队列,队列中的每个元素都有个预定时间,当线程从队列获取元素时,只有到期元素才会出队列,没有到期元素则阻塞等待,需要的朋友可以参考下
    2023-12-12
  • JAVA发送HTTP请求的多种方式详细总结

    JAVA发送HTTP请求的多种方式详细总结

    目前做项目中有一个需求是这样的,需要通过Java发送url请求,查看该url是否有效,这时我们可以通过获取状态码来判断,下面这篇文章主要给大家介绍了关于JAVA发送HTTP请求的多种方式总结的相关资料,需要的朋友可以参考下
    2023-01-01
  • 使用OkHttp3以Multipart/Form-Data方式上传文件方式

    使用OkHttp3以Multipart/Form-Data方式上传文件方式

    在开发过程中,使用multipart/form-data进行图片上传是一个常见的需求,本文通过一个实际案例,讲解了如何在项目中添加OkHttp3库依赖,并使用multipart/form-data进行图片上传,首先,介绍了ContentType的概念和常见类型
    2024-10-10
  • 基于Log4j2阻塞业务线程引发的思考

    基于Log4j2阻塞业务线程引发的思考

    这篇文章主要介绍了基于Log4j2阻塞业务线程引发的思考,基于很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-12-12
  • MyBatis控制台显示SQL语句的方法实现

    MyBatis控制台显示SQL语句的方法实现

    这篇文章主要介绍了MyBatis控制台显示SQL语句的方法实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-03-03
  • java制作仿微信录制小视频控件

    java制作仿微信录制小视频控件

    这篇文章主要介绍了java制作仿微信录制小视频控件的代码,录制小视频非常方便,有需要的小伙伴可以参考下。
    2015-04-04
  • MyBatis入门之增删改查+数据库字段和实体字段不一致问题处理方法

    MyBatis入门之增删改查+数据库字段和实体字段不一致问题处理方法

    这篇文章主要介绍了MyBatis入门之增删改查+数据库字段和实体字段不一致问题处理方法,需要的朋友可以参考下
    2017-05-05
  • Maven中引入 springboot 相关依赖的方式(最新推荐)

    Maven中引入 springboot 相关依赖的方式(最新推荐)

    这篇文章主要介绍了Maven中引入 springboot 相关依赖的方式(最新推荐),本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
    2025-04-04
  • java OpenTelemetry日志体系及缺陷解决方案

    java OpenTelemetry日志体系及缺陷解决方案

    这篇文章主要为大家介绍了java OpenTelemetry日志体系及缺陷解决方案详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-01-01

最新评论