|
|
|
|
公众号矩阵

解决异步线程获取不到Session问题

我们将原有项目的登录授权功能从Shiro切换到接入SSO单点登录服务并非一帆风顺,因为系统多了,总有一些让我们预想不到的骚操作。

作者: wujiuye 来源: Java艺术|2021-02-04 09:13

我们将原有项目的登录授权功能从Shiro切换到接入SSO单点登录服务并非一帆风顺,因为系统多了,总有一些让我们预想不到的骚操作。

比如这个,在处理请求的线程上启动一个线程,在这个新的线程中获取Session,从Session获取登录用户。

这真的是一个骚操作了!

由于未考虑到这种情况,上线就出了Bug,好在不是很严重的问题。

我们不讨论这样的骚操作有何不好,重要的如何解决问题?找到各种这样的骚操作修改过来?难!没有那么多时间慢慢改,而且改完还需要走一遍测试流程。

关于这件事情我跟同事争论了一番,毕竟之前是没有出现这个问题的,而就切换到SSO(为方便接入SSO服务而封装的SDK)就出现问题,不是我的问题又是谁的问题呢。

上图的代码经测试确实没有问题,测试结果如下图所示。

首先我们要知道,Session ID由服务端创建,并通过响应头cookie响应给浏览器,浏览器将Session ID存储在本地,会在下次请求自动带上Session ID,通过cookie请求头发送给服务端。

在服务端接收到客户端请求时,如果客户端有带上Session ID,那么就根据Session ID获取Session,默认是从内存获取,如果是使用Shiro框架并且使用Redis存储Session,那么就是从Redis中获取。

如果Session过期或者客户端没有传递Session ID,则创建新的Session,并会为新的Session重新分配Session ID。

Shrio框架在接收到请求时就通过过滤器拿到Session ID存储到ThreadLocal中了,所以不需要通过HttpServletRequest去拿Session。

Shrio之所以支持在异步线程中还能够获取到Session,这其实是因为Shrio使用的是InheritableThreadLocal,而不是ThreadLocal,实现了将Session ID传递给子线程,因此实现了“异步上下文”传递Session。

但这也是有局限的,要求这个异步线程必须是由当前处理请求的线程创建的,Session ID才能通过InheritableThreadLocal传递给子线程,如果是在线程池中,就不一定能获取到了。

这里留个思考题给大家:为什么说在线程池中不一定能获取到,而不是一定获取不到?要理解这个问题需要对线程池的工作原理、源码,以及InheritableThreadLocal源码理解,因此本篇不展开分析。

所以我们解决Bug就是将ThreadLocal换成InheritableThreadLocal,并且通过方法拦截器(HandlerInterceptor)或者过滤器(Filter)实现set session和remove session操作,推荐后者。

另外,从webmcv框架源码可以看出,RequestContextHolder#getRequestAttributes也是支持InheritableThreadLocal的,只是默认情况下不支持,需要修改配置。

getRequestAttributes方法会尝试从InheritableThreadLocal获取,源码如下。

但能不能获取得到由是否写入决定:

setRequestAttributes方法由RequestContextFilter过滤器调用,该过滤器由webmvc框架自动配置,代码如下。

默认RequestContextFilter并不会将ServletRequestAttributes写入InheritableThreadLocal,代码如下。

因此,我们是否可以替换默认注册的RequestContextFilter,将threadContextInheritable配置为true,这样就能支持将Session ID传递给子线程了,如下代码所示。

但,这并不是有效的,因为在RequestContextFilter之后,DispatcherServlet又调用了一次RequestContextHolder#setRequestAttributes,并且传入的threadContextInheritable为false,清除了前面的写入,所以必须要修改DispatcherServlet的threadContextInheritable为true才支持。但不建议在封装的SDK中这样改动。

关于为什么threadContextInheritable默认为false,官方在RequestContextFilter的API文档给出了如下说明。

本文转载自微信公众号「Java艺术」,可以通过以下二维码关注。转载本文请联系Java艺术公众号。

【编辑推荐】

  1. Python爬虫必须掌握的概念—Cookie和Session
  2. 如何扒开 SqlSession 的外衣
  3. Citrix Session Recording 深入浅出以及运维实战
  4. Nginx+tomcat集群redis共享session实战(支持tomcat6/7/8/9)
  5. 取证分析之 OpenSSH Session 信息解密
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

5人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

31人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

215人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微