# nginx 反向代理导致 session 失效的问题处理

  • 问题:后台系统的登录成功了,但不能成功登进系统,仍然跳转到登录页,但同一套代码另一个环境却没有问题。

  • 背景: 对同一个项目使用 tomcat 部署了两个环境,一个在开发服务器上,一个在他本机,两个环境代码配置完全相同。两边通过同一个 nginx 进行反向代理,nginx 配置大致如下:

location /health/ {
    proxy_pass  http://192.168.40.159:8081/health/;  #无问题的配置
}

location /health-dev/ {
    proxy_pass  http://192.168.40.202:8080/health/;  #有问题的配置
}
1
2
3
4
5
6
7

一个反向代理到开发环境,一个反向代理到本机服务。

  • 定位: 既然代码配置完全相同,那么问题很大可能就出现在 nginx 的反向代理上。 因为两边 location 路径不同(即浏览器路径不同),但是反向代理的服务端路径却相同,结合 session 的基本原理,如下图:

picture

当浏览器第一次打开页面时,服务端会为这次会话创建一个 session,并将 session id 通过 response 的 header 传递给浏览器,header 一般为 Set-Cookie: JSESSIONID=xxxxx; Path=xxxx 浏览器接收到响应后,如果 header Set-Cookie 中 path 的值与浏览器地址路径匹配,则将该 header 值存于浏览器的 Cookie 中 浏览器在下次请求服务器时,将 Cookie 中的 JSESSIONID 值通过 request 的 header 上报给服务端,header 一般为 Cookie: JSESSIONID=xxxx; 服务端可通过该 JSESSIONID 来定位到对应的 session nginx 反向代理按这种方式配置时

location /health-dev/ {
    proxy_pass  http://192.168.40.202:8080/health/;
}
1
2
3

浏览器访问 http://www.domian.com/health-dev 时,服务端返回的 Set-Cookie 的 Path 值为 /health(因为中间有反向代理,服务端并不知道代理前的路径是啥,是按最终请求服务端的路径设置),如图:

picture

因为浏览器访问地址的路径 /health-dev 与 Set-Cookie 的 Path /health 不匹配,所以浏览器并不会将其值存入 Cookie 中,如图:

picture

因此在下次请求服务器时,浏览器无法设置 request Cookie header 的 JSESSIONID 值,服务器无法定位到对应的 session,因此会将其当做第一次请求,创建一个新的 session,如此反复,因此就算你登录认证通过了,但服务器返回的登录凭证(JSESSIONID)浏览器不会保存,并在下次请求时携带,导致服务器认为你是一个新的请求,当然就会又跳到登录页面了。 解决 nginx 有一个命令 proxy_cookie_path(参考: proxy_cookie_path)可将服务器返回的 Set-Cookie 中的 path 进行修改,格式为 proxy_cookie_path 原路径 目标路径,我们在配置中添加 proxy_cookie_path 如下。

location /health-dev/ {
    proxy_pass  http://192.168.40.202:8080/health/;
    proxy_cookie_path  /health /health-dev;
}
1
2
3
4

重启 nginx,问题解决。