分析一次自动登录引起的风波,并提供对Cookie的处理方式

前言:最近在开发APP期间遇到的最无厘头的问题就是自动登录遇到的问题,一次偶然的机会发现问题所在,这里分享一下。

现象

我们APP内置了一个自动登录的功能,流程就是在当APP打开时,立刻去进行一次自动登录,但是自动登录不能阻塞当前用户的操作,主界面上数据,列表,版本验证,都要去做。以及用户的操作也不允许用弹框方式阻挡,需要做到用户无感知登录。但是有时候会发现有时候用户提示登录成功了,但是去操作别的操作的时候,依旧提示未登录

用户反馈一多,昨天就决心彻底解决这个问题,从本地网络,到模拟器模拟网络差,网络好、终于让我在一次发现了这个问题所在:这里贴一部分日志:

HttpRetrofit: Set-Cookie: JSESSIONID=0380D455A4A60299E060EFA6E9BD73D2;  HttpOnly
HttpRetrofit: Content-Type: text/html;charset=UTF-8
HttpRetrofit: Set-Cookie: JSESSIONID=E3E81C0FB84894ED61480AD5092EDCD9; HttpOnly
HttpRetrofit: Content-Type: text/html;charset=UTF-8
HttpRetrofit: Set-Cookie: JSESSIONID=E3E81C0FB84894ED61480AD5092EDCGB; HttpOnly
HttpRetrofit: Content-Type: text/html;charset=UTF-8

看到没有?这里竟然在往本地写入三次SESSIONID??搞过Web的人都知道,JESSIONID就是服务端与客户端之间维持联系的一个ID,那为什么我这里会写入三个呢??

这里我说明一下,我在当APP打开的时候,会分别去请求:

  • 自动登录
  • 检查版本
  • 加载首页列表
  • Banner列表,以及Banner图片的加载

来解释一下为什么服务器会向APP写入三个SessionId,因为当四个请求同时向服务器发起请求,那么对于服务器来说,就是四个新的客户端进来,因为你链接进去的时候,没有携带任何信息,所以服务端当做四个客户端去处理,那么自动登录成功后,会把服务端的SessionId保存起来,那么下一个请求刚好在自动登录操作之后完成,同样把服务端带来的SESSIONID保存起来,并且覆盖之前的SESSIONID,所以,虽然提示登录成功了,但是登录成功的是那个被覆盖的SESSIONID,你后来所使用的都是最后一个,未登录的那个SESSIONID。

所以才会出现那种,明明提示登录成功,但是去点击其他地方的时候,却提示一个未登录的信息。

解决

OK,知道了原理之后,我们来处理一下,我这里使用的是Retrofit网络请求框架,Cookie的支持,是使用的网上抄来经过自己修改的。

那么,我给我的Cookie框架,增加一个白名单的功能,只有在请求链接是指定的链接的时候,才允许往本地写SESSIONID,否则,是不允许写SESSIONID的,这样子就保证了本地的SESSIONID只会保存自己想要的那个SESSIONID。

我这里给的白名单是,只允许登录,自动登录,注册,三个接口才允许往本地写 SESSIONID,其他的,只有读取的权限。

结尾

这里贴一下经过自己的修改的那个Cookie的GitHub链接:OkHttpHelper:https://github.com/xiaolei123/OkHttpHelper

implementation 'com.xiaolei:OkHttpUtil:1.0.5'

关键文件:CookieJar

使用:

List<URL> list = new ArrayList();
list.add(new URL("http://www.baidu.com/aaa/login.action"));
list.add(new URL("http://www.baidu.com/aaa/autoLogin.action"));
list.add(new URL("http://www.baidu.com/aaa/register.action"));
CookieJar  cookieJar = new CookieJar(Application,);


new OkHttpClient.Builder().cookieJar(cookieJar ).build();

不需要修改Cookie文件的另一种处理方式:

我们这里先了解一下,为什么这种情况为什么在浏览器比如Chrome里不会出现。 那么我们先了解一下Chrome的加载流程: Chrome -> 首页HTML -> JS,CSS,... 也就是说,浏览器在加载的时候,会先加载HTML,这时候会话已经形成,再加载后续的资源文件也好,或者点击上面的链接也好,都依赖第一个请求。

那么我们这里就模仿浏览器的请求,在加载我们关键的文件之前:

APP->启动页(这里加载一个接口) -> 首页(并发加载需要的数据接口)

那么这样子,后续的接口都依赖第一个接口产生的SESSNIONID,也就保证了SessionID的同步。

END。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

XSS Bot从入门到完成

xss在近几年的ctf形式中,越来越受到了人们的重视,但是出xss的题目最重要的可能就是xss bot的问题了,一个合格的xss bot要稳定还能避免搅屎。下面...

2628
来自专栏腾讯NEXT学位

JavaScript全栈开发-工具篇(下)

? 文章目录 ? 四、测试工具 1. 单元测试 单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。常见的单元测试工具有: * ...

602
来自专栏全栈数据化营销

不用代码,采集知乎、微博、微信、58系列之二:实现无限页面采集

之前的文章中,详细地介绍了web scraper的安装以及完整的采集流程,但是也只是局限在一个页面采集,那么如果我要实现多页面采集呢,这要如何实现呢? 首先我们...

3494
来自专栏DeveWork

WordPress 在后台文章和页面列表显示对应的ID

在WordPress 中,每一篇文章及每一个页面都有一个独一无二的id 。在开发主题或者插件的时候可能有需要获取相对应的文章或者页面id,例如在展示特色文章幻灯...

17410
来自专栏佳爷的后花媛

使用vue做一个本地记事本(一)

这个参考的是一个记事本的demo,为了面试学的vue,看了两天,觉得想要更快的上手最好还是做一个demo。这是我刚开始学的时候做的一些小demo,跟着文档来的。...

742
来自专栏CSDN技术头条

Python 开发者的微信小程序开发实践

导读 在知乎上,有人提问“如何使用 Python 开发微信小程序”。 ? 其实微信小程序作为一个前端的机制,Python 并不能插上边。只不过可以作为后端接口...

6237
来自专栏前端那些事

调用wx.request接口时需要注意的几个问题

写在前面 之前写了一篇《微信小程序实现各种特效实例》,上次的小程序的项目我负责大部分前端后台接口的对接,然后学长帮我改了一些问题。总的来说,收获了不少吧! 现在...

35811
来自专栏Java帮帮-微信公众号-技术文章全总结

SSO单点登录使用token机制来验证用户的安全性

登录的业务逻辑 { http:是短连接. 服务器如何判断当前用户是否登录? // 1. 如果是即时通信类:长连接. /...

4045
来自专栏落影的专栏

iOS近距离实时通信解决方案

前言 最近研究iOS设备间的近距离实时通信,对其解决方案进行了解,整理如下: ? 其中AirDrop常用于iOS/OS X系统间分享图片、视频等,但实...

3474
来自专栏建站达人秀

如何搭建 Koa 网站

Koa 是一个新的 web 框架,由 Express 幕后的原班人马打造, 致力于成为 web 应用和 API 开发领域中的一个更小、更富有表现力、更健壮的基石...

1482

扫码关注云+社区