目前系统使用的网关是Spring Cloud Gateway,并且加入了Spring Security来保护系统。 用户认证是基于jwt来认证,因此没用使用session。
但是经过测试发现,当请求的cookie中有session时,服务端响应的set-cookie 中也有session字段,并且session是空值,因此我们需要禁用session,避免返回空值。
1.如果是基于springmvc的服务,那么禁用session 可以在配置类WebSecurityConfigurerAdapter的子类中增加session相关的配置
@Override
protected void configure(HttpSecurity http) throws Exception {
//设置session为无状态模式
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
http.antMatchers("/**").permitAll();
}
2.但是Spring Cloud Gateway 是基于spring webflux 没有上面的WebSecurityConfigurerAdapter配置类,经过翻看代码发现,在默认的ServerWebExchange的实现类DefaultServerWebExchange中有关于session的配置
DefaultServerWebExchange(ServerHttpRequest request, ServerHttpResponse response,
WebSessionManager sessionManager, ServerCodecConfigurer codecConfigurer,
LocaleContextResolver localeContextResolver, @Nullable ApplicationContext applicationContext) {
Assert.notNull(request, "'request' is required");
Assert.notNull(response, "'response' is required");
Assert.notNull(sessionManager, "'sessionManager' is required");
Assert.notNull(codecConfigurer, "'codecConfigurer' is required");
Assert.notNull(localeContextResolver, "'localeContextResolver' is required");
// Initialize before first call to getLogPrefix()
this.attributes.put(ServerWebExchange.LOG_ID_ATTRIBUTE, request.getId());
this.request = request;
this.response = response;
//session 管理 默认的为DefaultWebSessionManager 使用的是InMemoryWebSessionStore
this.sessionMono = sessionManager.getSession(this).cache();
this.localeContextResolver = localeContextResolver;
this.formDataMono = initFormData(request, codecConfigurer, getLogPrefix());
this.multipartDataMono = initMultipartData(request, codecConfigurer, getLogPrefix());
this.applicationContext = applicationContext;
}
基于此可以在系统中 注入一个WebSessionManager,此WebSessionManager初始化为DefaultWebSessionManager,并且调用setSessionIdResolver方法。
设置的SessionIdResolver为CookieWebSessionIdResolver的子类,置空session过期的方法expireSession
此时相当于session过期之后不做任何处理,因此也不会有set-cookie的响应
,如下
@Bean
public WebSessionManager webSessionManager() {
DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
defaultWebSessionManager.setSessionIdResolver(new CookieWebSessionIdResolver(){
@Override
public void expireSession(ServerWebExchange exchange) {
//session 过期不做任何处理
}
});
return defaultWebSessionManager;
}
此时DefaultServerWebExchange中的sessionManager 就被替换成我们自定义的返回空的session的对象。此时不对session做任何处理。最终返回出去的set-cookie 中就没有session 相关的内容。
