问题描述

第一次Ajax请求，后台在controller中生成一个6位随机验证码，和请求中的手机号码一起存放在session；
第二次Ajax请求，后台获取session，无法获得第一次的session。

原因分析

分析一下session的原理，第一次Ajax请求发送，controller中使用HttpSession中的setAttribute()新建session并将手机号和验证码绑定。

之后，在响应报文中会添加一个Cookie，这个Cookie中存放sessionId（SpringBoot项目中的sessionId名为JSESSIONID），以供下一次请求，能够获取。

打开network，查看第一次Ajax请求的响应报文，并没有发现JSESSIONID，所以在第二次Ajax请求中就没有没有携带任何sessionId，所以在controller中就不能获取到上次的session。

解决方案

需要设置allowCredentials值为true，在@CrossOrigin注解中设置：

@CrossOrigin(allowCredentials="true")

或者在单独的跨域请求全局配置文件中使用allowCredentials(true)方法：

@Configuration
@EnableWebMvc
public class WebMvcConfig  implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

同时，在Ajax请求中设置withCredentials为true

xhrFields:{
        withCredentials:true
    },

参考连接：
《session和cookie的区别及联系》
《spring每次请求后session不一样导致无法在服务器保存信息》
《SpringBoot配置Cors解决跨域请求问题》
《浏览器跨域请求之credentials》