spring session redis跨域共享session的总结

最近由于公司的项目需求，需要跟甲方对接，对方使用的是spring session框架实现的session共享，调试了整整一周才基本流程跑通，期间遇到了不少的坑，接下来就把遇到的坑总结下来，方便以后进行查看，也可以给大家准备使用spring session共享提供个参照，初次写博客，请多关照，闲话少说，接下来谈谈遇到的坑

 1：第一个坑就是我们项目采取的前后端分离的技术架构和部署模式，这样就不可避免的跨域了，这样跨域之后就引发了很多问题，最重要的问题就是，前端即使是同一个html中每发送一个ajax请求都是一个独立的session，sessionID不一样，这样就不能实现session共享，解决方案前后端需同时配合开启Access-Control-Allow-Credentials 具体代码如下：

          第一 后端使用cors解决跨域，并将Access-Control-Allow-Credentials 设置为true，由于我使用的spring boot框架，跨域过滤器代码如下：

import java.io.IOException;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.log4j.Logger;
import org.springframework.stereotype.Component;

/**
 * 
* @ClassName: CorsFilter  
* @Description: 跨域过滤器设置header跨域，并将跨域接受cookie开启
* @author * @date 2017年3月7日  
*
 */
@Component
public class CorsFilter implements Filter {

private Logger logger = Logger.getLogger(CorsFilter.class);

private final String prefix = "===================";
    @Override
    public void destroy() {
    logger.info(prefix+"CorsFilter过滤器销毁");
    }
    @Override
    public void doFilter(ServletRequest req, ServletResponse res,
            FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest)req;
    HttpServletResponse response = (HttpServletResponse) res;

// 切记当Access-Control-Allow-Credential设置为true的时候，Access-Control-Allow-Origin 不能用*，可以用前端的域名或者像我这样写，这个坑调试了好久。。
        response.setHeader("Access-Control-Allow-Origin",request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
            response.setHeader("Access-Control-Max-Age", "3600");
            response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
            //是否支持cookie跨域
response.setHeader("Access-Control-Allow-Credentials","true"); 
logger.info(prefix+"设置跨域heade结束");
           chain.doFilter(request, response);  
    }
    @Override
    public void init(FilterConfig config) throws ServletException {
    logger.info(prefix+"CorsFilter过滤器初始化");
    }


}   

第二：后端已经开启接收cookie凭据验证，则前端在发送ajax请求的时候需要将Access-Control-Allow-Credentials 设置为true，具体代码如下，由于使用的html5的特性，会导致有些浏览器不支持，IE10及以下不支持html5,代码如下

$.ajax({     type: 'post',     url:  "localhost:8080/three/pro/saveTest",     xhrFields: {         withCredentials: true     },     crossDomain: true,     data: JSON.stringify(param),     success: function(data) {           message = data.result;         if (message == false) {             alert("保存失败");         }     },     error: function() {} });

注意主要就是这个属性这样前端就开启了cookie发送，这样前端页面中的session就相同了：

xhrFields: {         withCredentials: true     },     crossDomain: true,

经过以上两个步骤，跨域的问题是解决了，sessionID也相同了，接下来聊聊我遇到的第二个坑

2：第二坑也是坑的我好惨，由于我们项目是调用的第三方的登录html，比如说，我们的域名是test.ceshi.com 而第三方的域名是testbuilder.ceshi.com 这样进行调试发现这两个域名的session始终不能共享，通过火狐浏览器查看cookie发现，他们两个域名没有公用一个cookie，一个test.ceshi.com的cookie，一个是testbuilder.ceshi,com 的cookie，看到这样我就去查看spring session 的源码，发现spring session 默认使用cookie 保存和传递 sessionId，具体详细情况请参考

 http://blog.csdn.net/alaska_bibi/article/details/53126456?locationNum=3&fps=1

除了根据以上博客修改getCookiePath为获取根目录，另外还需要在writeCookieValue 中设置domainName 为ceshi.com 注意 前面没有“.”这样一来他们的cookie就都在ceshi.com的根路径下，这样就实现了session跨域共享,初次写博客可能描述不是很清楚，请多多包涵