我做了一個API伺服器提供給手機端調用,用Spring Session連接Redis來做多台tomcat的session共享,用security來做API的權限攔截,並且使用了x-auth-token也就是header的token驗證。現在遇到一個問題,有些API是無權限驗證的,但當存取這些API時,spring會為每次request都建立session,傳回一個新的x-auth-token,這可能會導致session過多,請問如何配置才能讓這種情況無需創建session呢?已經配置create-session="never",但不管用。以下是security設定
<http realm="Protected API" use-expressions="true" auto-config="false"
create-session="never" entry-point-ref="customAuthenticationEntryPoint">
<intercept-url pattern="/auth/login/phone" access="permitAll()" />
<intercept-url pattern="/**" access="isAuthenticated()" />
<access-denied-handler ref="customAccessDeniedHandler" />
</http>
spring session
<!-- 在HTTP的header中使用x-auth-token:來實現session -->
<bean class="org.springframework.session.web.http.HeaderHttpSessionStrategy" />
<!-- This is essential to make sure that the Spring Security session registry
is notified when the session is destroyed. -->
<bean
class="org.springframework.security.web.session.HttpSessionEventPublisher" />
<bean class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration" scope="singleton">
<!-- session为60分钟过期 -->
<property name="maxInactiveIntervalInSeconds" value="${session.maxInactiveIntervalInSeconds}"></property>
</bean>
...
省略redis pool配置
找到原因了,首先打開log的trace,然後trace org.springframework,這個時候可以看到每次創建新session時都會有日誌,spring會打印session的創建棧
其中可以找到xxx.xxxx這行,LogFilter第52行查看程式碼發現呼叫了req.getSession(),雖然create-session配置了never,但若有程式碼呼叫req.getSession(),spring仍然會建立一個全新的session。盡量不要在filter等全域攔截器裡呼叫req.getSession(),否則會隨時建立一個新的session