问题背景
这是一个困扰了我们近一年的问题,我们在学校为某企业开发系统,系统需要登陆的工能,但莫名其妙的问题出现了,即session过期问题。
后端在shiro中配置的session过期时间是30m,即30分钟内前端不发送任何请求的话,session会过期,并且session验证调度器的时间也是每30分钟启动一次,也就是说如果是正常退出的话,session会直接过期,如果是关闭浏览器,也就是不发送任何请求,验证调度器会每30分钟扫描一次,扫描过期的session并清除。
系统出现的问题是,过期时间不确定,可能是30分钟,可能是20分钟,甚至几分钟就会掉线。这个问题经常被重现,但是没有确定规律。掉线再登录就行了,也不算什么大问题,就一直被搁置。直到某一天观察其他网站,才发现问题所在。
问题原因
前端采用的是hash路由,点击各种按钮时并不会刷新页面,通过观察,cookie的过期时间是通过刷新页面更新的,而我们项目的cookie过期时间也是30分钟。
也就是说,如果在我们这个项目中一直进行正常操作,cookie的过期时间是不会改变的,30分钟后,session距离过期可能还有30分钟,但是cookie已经过期了。而cookie中保存着sid(sessionId),如果该cookie过期,后端将不能判断发送请求者的session,会认为发送请求的人没有登陆,导致没有权限。而我们后端将所有没有权限的异常都封装成了serviceException,只是会提示用户未登录,造成了session过期的假象。
其实总体来说,还是cookie过期的问题。
上图是b站的sid过期时间,这里设置了近8个月。因此将后端的cookie过期时间改长即可解决。
教训
- 弄懂登录原理,刚开始根本不懂登录的原理,只是一味地寻找session的问题,其实问题出现在cookie上。
- 有些异常不能封装的太简单,如果无权限异常没有被封装,日志中打印出来的一定是sid问题,导致用户无权限,这样就能更加快速地定位到cookie的问题。