一次调用支付宝PC场景下单笔支付之后同步回调遇到的session失效问题记录
问题描述:
调用支付宝接口:alipay.trade.page.pay,该接口请求参数中有两个返回地址需要设置,return_url是同步返回地址,用于支付成功后页面的跳转,notify_url是异步通知地址,用于支付宝服务器主动通知商户服务器里指定的页面。问题出在同步返回的时候,因为业务需要返回的地址需要用户的登陆信息,项目中的用的session会话管理,但是调用支付宝支付接口支付成功后返回该同步页面时,却被拦截器拦截,跳到登陆页面,需要输入用户的登陆信息,这种情况是不能忍的。。。⊙o⊙
问题分析:
1.考虑到这种情况,首先想到的就是session失效,可是session为什么会失效呢?
首先,session是服务器端为了保存状态而创建的一个特殊的对象。浏览器访问服务器时,服务器创建一个特殊对象session(该对象有一个唯一的id,称为sessionId,服务器会将sessionId以cookie形式发给浏览器,当浏览器再次访问服务器时,会将sessionId发送过来,服务器端可以利用这个sessionId找到相应的session对象)。
到此处判断是支付宝同步返回return_url的时候没有将sessionId发给浏览器,那我就把sessionId发给服务器,采用的解决办法是url重写,将sessionId拼接到return_url后面,格式为?SESSION=sessionId,尝试结果失败 >"<||||
为什么会失败呢,代表用这种方式服务器依然无法获得sessionId,服务器如何获取sessionId的呢?后台用的服务器是Tomcat,它在处理http请求时会解析请求消息头,从中获取sessionId,然后获取session对象,这也许是如上方法尝试失败的原因吧。
如上不可行后,又试想能不能继续用这种方式,我在要返回的页面把这个传过来的sessionId给当作请求参数获取,然后通过sessionId获取session,觉得这个想法似乎不错,很快就发现有阻力了(°ο°)Servlet2.1之后不支持SessionContext里面getSession(String id)方法。。。但是可以通过HttpSessionListener监听器和全局静态map自己实现一个SessionContext,到这里开始觉得自己的思路不对,我获取这个session之后呢。。。
接着怎么办呢,请求消息头是没办法改了,如何让请求消息头中带上cookie呢?在思考无效之后请教了身边大神,大神告诉我,你的return_url是用的花生壳的映射地址,类似http://a0167495a2.imtodk.net:11236/buy这种格式的url,而调支付接口之前的访问url都是http://localhost.8080/buy这种格式的url,所以导致session失效,真是一语惊醒梦中人啊,将域名端口改成一样之后,果然解决了。
分析为什么会这样呢,这是个cookie路径问题,浏览器在访问服务器上的某个地址时,会比较cookie的路径与改路径是否匹配,只有匹配的cookie才会发送给服务器,上面那两个路径怎么看都匹配不上,所以请求消息头中当然没有sessionId了,服务器也就获取不到session了。
ps:其实这个问题很傻,可是也废了两天时间,重要的是思考的过程,记录一下。