分析一次自动登录引起的风波,并提供对Cookie的处理方式

前言:最近在开发APP期间遇到的最无厘头的问题就是自动登录遇到的问题,一次偶然的机会发现问题所在,这里分享一下。

现象

我们APP内置了一个自动登录的功能,流程就是在当APP打开时,立刻去进行一次自动登录,但是自动登录不能阻塞当前用户的操作,主界面上数据,列表,版本验证,都要去做。以及用户的操作也不允许用弹框方式阻挡,需要做到用户无感知登录。但是有时候会发现有时候用户提示登录成功了,但是去操作别的操作的时候,依旧提示未登录

用户反馈一多,昨天就决心彻底解决这个问题,从本地网络,到模拟器模拟网络差,网络好、终于让我在一次发现了这个问题所在:这里贴一部分日志:

HttpRetrofit: Set-Cookie: JSESSIONID=0380D455A4A60299E060EFA6E9BD73D2;  HttpOnly
HttpRetrofit: Content-Type: text/html;charset=UTF-8
HttpRetrofit: Set-Cookie: JSESSIONID=E3E81C0FB84894ED61480AD5092EDCD9; HttpOnly
HttpRetrofit: Content-Type: text/html;charset=UTF-8
HttpRetrofit: Set-Cookie: JSESSIONID=E3E81C0FB84894ED61480AD5092EDCGB; HttpOnly
HttpRetrofit: Content-Type: text/html;charset=UTF-8

看到没有?这里竟然在往本地写入三次SESSIONID??搞过Web的人都知道,JESSIONID就是服务端与客户端之间维持联系的一个ID,那为什么我这里会写入三个呢??

这里我说明一下,我在当APP打开的时候,会分别去请求:

  • 自动登录
  • 检查版本
  • 加载首页列表
  • Banner列表,以及Banner图片的加载

来解释一下为什么服务器会向APP写入三个SessionId,因为当四个请求同时向服务器发起请求,那么对于服务器来说,就是四个新的客户端进来,因为你链接进去的时候,没有携带任何信息,所以服务端当做四个客户端去处理,那么自动登录成功后,会把服务端的SessionId保存起来,那么下一个请求刚好在自动登录操作之后完成,同样把服务端带来的SESSIONID保存起来,并且覆盖之前的SESSIONID,所以,虽然提示登录成功了,但是登录成功的是那个被覆盖的SESSIONID,你后来所使用的都是最后一个,未登录的那个SESSIONID。

所以才会出现那种,明明提示登录成功,但是去点击其他地方的时候,却提示一个未登录的信息。

解决

OK,知道了原理之后,我们来处理一下,我这里使用的是Retrofit网络请求框架,Cookie的支持,是使用的网上抄来经过自己修改的。

那么,我给我的Cookie框架,增加一个白名单的功能,只有在请求链接是指定的链接的时候,才允许往本地写SESSIONID,否则,是不允许写SESSIONID的,这样子就保证了本地的SESSIONID只会保存自己想要的那个SESSIONID。

我这里给的白名单是,只允许登录,自动登录,注册,三个接口才允许往本地写 SESSIONID,其他的,只有读取的权限。

结尾

这里贴一下经过自己的修改的那个Cookie的GitHub链接:OkHttpHelper:https://github.com/xiaolei123/OkHttpHelper

implementation 'com.xiaolei:OkHttpUtil:1.0.5'

关键文件:CookieJar

使用:

List<URL> list = new ArrayList();
list.add(new URL("http://www.baidu.com/aaa/login.action"));
list.add(new URL("http://www.baidu.com/aaa/autoLogin.action"));
list.add(new URL("http://www.baidu.com/aaa/register.action"));
CookieJar  cookieJar = new CookieJar(Application,);


new OkHttpClient.Builder().cookieJar(cookieJar ).build();

不需要修改Cookie文件的另一种处理方式:

我们这里先了解一下,为什么这种情况为什么在浏览器比如Chrome里不会出现。 那么我们先了解一下Chrome的加载流程: Chrome -> 首页HTML -> JS,CSS,... 也就是说,浏览器在加载的时候,会先加载HTML,这时候会话已经形成,再加载后续的资源文件也好,或者点击上面的链接也好,都依赖第一个请求。

那么我们这里就模仿浏览器的请求,在加载我们关键的文件之前:

APP->启动页(这里加载一个接口) -> 首页(并发加载需要的数据接口)

那么这样子,后续的接口都依赖第一个接口产生的SESSNIONID,也就保证了SessionID的同步。

END。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张戈的专栏

WordPress发布/更新文章、提交/审核评论自动清理VeryCloud缓存

上一篇文章分享了WordPress 发布文章评论自动刷新腾讯云 CDN 的教程,而博客现在还用到了 VeryCloud 的 CDN,正好有朋友在文章后面留言说 ...

3459
来自专栏廖泽恺的专栏

Node Server零基础: 开发环境文件自动重载

在 web 前端开发中,我们会借助 Grunt、Gulp 和 Webpack 等工具的 Watch 模块去监听文件变化,那服务端应该怎么做?其实文件变化的监听依...

7610
来自专栏desperate633

深入理解HTTP1.0和HTTP1.1的区别

HTTP 1.0规定浏览器与服务器只保持短暂的连接,浏览器的每次请求都需要与服务器建立一个TCP连接,服务器完成请求处理后立即断开TCP连接,服务器不跟踪每个客...

771
来自专栏小勇DW3

线上测试环境搭建过程记录

3.安装完以后  会在 /usr/java/latest 下有对应的 jdk 版本

1231
来自专栏deepcc

IE=edge,chrome=1的META信息详解

3788
来自专栏张善友的专栏

Microsoft同步工具SyncToy

SyncToy是微软开发的一款同步工具,帮助你快速的拷贝,移动,重命名和删除不同文件夹或者不同电脑之间的文件。SyncToy是微软同步框架的一个实际应用例子. ...

7047
来自专栏云计算

6个虚拟机备份和恢复的最佳实践

虚拟机的架构与传统的物理机有着天壤之别,因此不适合于传统的备份方案。在本文中,我们将介绍一些虚拟机备份的最佳实践。

21810
来自专栏Jerry的SAP技术分享

JavaScript and Ruby in ABAP

Netweaver里有个mini JavaScript engine CL_JAVA_SCRIPT, 对于Js code的编译和执行都是用system call...

4036
来自专栏实用工具入门教程

如何部署 ftp 文件服务

文件传输协议(英文:File Transfer Protocol,缩写:FTP)是用于在网络上进行文件传输的一套标准协议,使用客户/服务器模式。它属于网络传输协...

4833
来自专栏哲学驱动设计

信息系统开发平台OpenExpressApp - ClickOnce智能部署

    这里讲的是OpenExpressApp的部署方案。主要使用的是ClickOnce作为实施方案来实现:智能部署和智能客户端。不过,这里的使用方式跟以往的不...

2235

扫码关注云+社区