springboot 跨域+前后端分离引起的session丢失问题

一般用springboot做后台, 前后台分离,前端用ajax调用,往往会出现丢失session的问题。

网上通常的解决方法是:往前台加入xhrFields:{withCredentials:true},后台springboot加入拦截器中申明setAllowCredentials(true).

但是这种做法往往还是有局限, 特别是在一个复杂的单页面应用中(SPA),往往一个页面调用超过3个或更多的接口,假设前端页面依次调用如下3个接口:

1)调用后台interface1,传入的用户名密码,验证通过后,将用户名写入session

2)  调用后台interface2,读接口1的产生的session里的用户名

3)  调用后台interface3,读接口1的产生的session里的用户名

由于ajax是异步的,往往接口interface2,interface3执行时,interface1并没有执行完,那么往往2,3就读取不到session ,这时候,第一次执行这个页面得不到session,这非常正常;再刷一下,又可以了,其实是第一次刷新页面产生的session已经存在。但是这种现象调试起来,非常让人迷惑,给人一种不稳定的感觉。

这个现象的本质是前后端分离后,如果纯粹用html/js做前端来控制整个web路由,就会不可避免造成这种情况,因为后台接口运行的时间和前台页面加载时间并不同步,MVC中把View层调制最前面,如果View层没有Controller层功能的话,就会造成混乱。

这种情况下,如果不能调整1,2,3的执行顺序(将2,3放到1的ajax complete里去),那么做法只能是如下一种:

A)将后台 springboot的java接口和前台html代码通过nginxi/apache的proxy功能,整合成不跨域的部署体系。(往往这种方法也还是不稳定,只是一种临时的解决办法)

B)如果A)不行,那么就只能废除session方案,直接给interface2,3显式地传入用户id。

这种方法也是一种临时的解决办法,但是每次手动写用户id,显然安全性不强

C)在前端引入node js控制器,来控制:只有当session建立后,才调用剩余html。(这个也就是VUE/Node js一类的js controller引入的目的呢)

你可能感兴趣的:(Java)