java - Websession 失效不适用于 Spring Boot 2.0.2

Question

我想将我的 Spring Webflux 项目从 Spring Boot 2.0.1 升级到 Spring Boot 2.0.3。在我的项目中，我的 session 由 Spring Session Data Redis 支持。在升级 Spring Boot 版本时，我注意到 Spring Boot 2.0.2+ 的 websession 失效问题。

在 Spring Boot 2.0.1 中，我以这种方式使我的 session 无效:

webSession.invalidate().subscribe();

这导致我当前的 session 被销毁，并生成了一个新的 session ID、创建时间等。

但是，从 Spring Boot 2.0.2 开始，相同的代码似乎并没有完全破坏 session 。当前 session 信息只是被“清除”，之后仍然使用相同的 session ID。这是一个问题，因为它会导致 ReactiveRedisOperationsSessionRepository.class 中出现空指针异常:

private static final class SessionMapper implements Function<Map<String, Object>, MapSession> {
        private final String id;

        private SessionMapper(String id) {
            this.id = id;
        }

        public MapSession apply(Map<String, Object> map) {
            MapSession session = new MapSession(this.id);
            session.setCreationTime(Instant.ofEpochMilli((Long)map.get("creationTime")));
            session.setLastAccessedTime(Instant.ofEpochMilli((Long)map.get("lastAccessedTime")));
            session.setMaxInactiveInterval(Duration.ofSeconds((long)(Integer)map.get("maxInactiveInterval")));
            map.forEach((name, value) -> {
                if (name.startsWith("sessionAttr:")) {
                    session.setAttribute(name.substring("sessionAttr:".length()), value);
                }

            });
            return session;
        }
    }

由于 session 数据为空(没有创建时间等)，以下行引发 NPE:

session.setCreationTime(Instant.ofEpochMilli((Long)map.get("creationTime")));

这是错误还是我错过了 Spring Boot 2.0.2+ 中有关 Spring Session 的新内容？

更新

为了提供更多信息，我创建了一个重现该问题的示例项目:https://github.com/adsanche/test-redis-session

这个项目包含一个简单的 Controller ，暴露两个端点:

@Controller
public class HelloController {

    @GetMapping(value = "/hello")
    public String hello(final WebSession webSession) {

        webSession.getAttributes().put("test", "TEST");

        return "index";
    }

    @GetMapping(value = "/invalidate")
    public String invalidate(final WebSession webSession) {

        webSession.invalidate().subscribe();

        return UrlBasedViewResolver.REDIRECT_URL_PREFIX + "/hello";
    }
}

使用Spring Boot 2.0.1运行项目时的行为

• 转到第一个端点: http://localhost:8080/hello

• Redis 中的 session 状态:

我们注意到 session ID 以 7546ff 开头， session 数据包含“测试”属性以及默认 session 信息(创建/上次访问时间等)。

• 转到第二个端点: http://localhost:8080/invalidate

当前 session 失效，在“/hello”上执行重定向，在新的网络 session 中添加测试属性。

• Redis 中新 session 的状态:

我们注意到新的 session ID 以 ba7de 开头，并且新的 session 数据仍然包含测试属性和默认 session 信息。

现在，让我们使用 Spring Boot 2.0.3 在同一个项目上重现这个场景。

使用Spring Boot 2.0.3运行项目时的行为

• 转到第一个端点: http://localhost:8080/hello

• Redis 中的 session 状态:

我们注意到 session ID 以 12d61 开头， session 数据包含“测试”属性以及默认 session 信息(创建/上次访问时间等)。

• 转到第二个端点: http://localhost:8080/invalidate

• Redis 中新 session 的状态:

我们在这里注意到，仍然使用相同的 session ID，但 session 甚至已从其默认信息(创建日期等)中清除。因此，当再次调用它时，在我在原始帖子中提到的位置的 apply() 方法中的响应式(Reactive) redis session 存储库中触发 NPE:

希望这个示例项目有助于确定它是我这边的错误还是实现问题。

Answer 1

这是 Spring Session 的 SpringSessionWebSessionStore 中的错误，或者更具体地说，它的内部 WebSession执行。问题是在 WebSession#invalidate 上session 仅从底层 session 存储中清除，但未标记为无效，因此后续请求处理仍然使用相同的 session id 结束。

我打开了gh-1114在 Spring session 中解决这个问题。

我相信您以前没有经历过这种情况，即在 Spring session 上 2.0.2.RELEASE及以下由于 SpringSessionWebSessionStore 中的另一个错误在 2.0.3.RELEASE 中得到解决- 参见 gh-1039 .这个问题是关于未能更新 lastAccessedTime ，一旦我们修复了您描述的场景开始失败，因为无效(和删除) session ID 的 session 仅使用 lastAccessedTime 再次保存属性。