每一个会话在redis中对应3个key
其中spring:session:sessions:32d0d3b2-0f04-469b-a917-3a55e60f7393存放的是具体内容,sessionAttr开头的field与setAttribute()一一对应
第一次创建SESSION时(一般是登录的时候),后端把sessionId set-cookie到前端
之后的请求,前端把cookie中的SESSION传到后端,后端根据cookie识别session
后端的接口一般会有token认证机制(jwt是常见的token实现方案),token会有一定的有效期,如果token过期,后端返回401状态码(unauthorized),前端的公共js方法看到状态码为401 ,提示用户“登陆已过期”并跳转到登录页。
假设token有效期默认为30分钟,用户A登录后生成一个token,30分钟内用户不停的 *** 作,这种情况下,假如token依然过期,提示用户“登陆已过期”并跳转到登录页,用户体验就会非常差。
因此,token通常会有自动续期的机制,每次用户调用接口时,把redis中该token的ttl重置为30min。
假设token的有效期比session的长,session过期了但是token没过期,那么用户仍处于登录状态,这时如果调用一些需要从session取数据的接口,就会有问题。
因此,session的有效期,至少要跟token一样长,但是token有自动续期机制,所以session也要有自动续期机制。
经测试,springboot项目,使用redis实现session共享,session的有效期默认为2100s,即35分钟,并且,springboot已经实现了自动续期,每次访问session(getSession或者存取数据),都会把ttl重置为2100s。
看起来已经完美了,其实还有问题。
假如用户35min内的 *** 作,都不涉及session,那么session就会过期,但是token依然没过期,还是会有问题。
解决方案是:每次token校验成功后,调用一次getSession(false)方法,重置session的ttl。
如果某一次请求时,后端创建了新的session,就会把新的sessionId set-cookie到前端,之后前端发起请求时,cookie会带上新的sessionId,后端也根据这个新的sessionId寻找会话。
但是,这个新的sessionId并没有对应的内容(一般只会在登录的时候,把用户信息等内容set到session)。
因此,仅当登录的时候,允许创建新的session,其余的地方,如果需要获取session,需要用getSession(false),false表示不创建新session,若session为空返回null。
注意:getSession()等价于getSession(true),在没有session时,会创建新session。
如果是通过session的setAttribute()和getAttribute() api实现数据存取,springboot会帮我们实现序列化和反序列化,但是,假如我们需要自己实现数据存取(比如我们是开发人员,想要查看用户session里的信息,就需要自己实现反序列化),该怎么办?
以获取session中的内容为例,session的内容在redis中以hash格式存放,而redis对该hash的value使用的serializer是JdkSerializationRedisSerializer,因此,如果要把session的内容(字节数组)转化为java对象(即反序列化过程),需要设置serializer为JdkSerializationRedisSerializer。
每次执行session.setAttribute(),并不会马上把数据写到redis,而是先写到本地内存缓存,等本次请求结束后,再写到redis。
path属性为glcs,代表请求路径需要包含glcs,才会把该cookie带到后端;
httponly属性,表示该cookie无法通过js读取/修改,比如document.cookie无法读取,只有发起http请求的时候才会自动带到后端
也可以使用EnableMongoHttpSession注解用MongoDB来管理session
0.session的了解
在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话
一. 在集群系统下实现session统一的有如下几种方案:
1、请求精确定位:session sticky,
例如nginx基于访问ip的hash策略,即当前用户的请求都集中定位到一台服务器中,这样单台服务器保存了用户的session登录信息,如果宕机,则等同于单点部署,会丢失,会话不复制
2.session复制共享:session replication
tomcat自带session共享,主要是指集群环境下,多台应用服务器之间同步session,使session保持一致,对外透明。 如果其中一台服务器发生故障,根据负载均衡的原理,调度器会遍历寻找可用节点,分发请求,由于session已同步,故能保证用户的session信息不会丢失,会话复制.
不足之处:
1)必须在同一种中间件之间完成(比如tomcat-tomcat之间),
2)session复制带来的性能损失会快速增加,特别是当session中保存了较大的对象,而且对象变化较快时, 性能下降更加显著,会消耗系统性能。这种特性使得web应用的水平扩展受到了限制。
3)Session内容通过广播同步给成员,会造成网络流量瓶颈,即便是内网瓶颈
4)在大并发下表现并不好
3.基于 memcache/redis缓存的 session 共享
用cacheDB存取session信息,应用服务器接受新请求将session信息保存在cache DB中,当应用服务器发生故障时,调度器会遍历寻找可用节点,分发请求,当应用服务器发现session不在本机内存时,则去cacheDB中查找,如果找到则复制到本机,这样实现session共享和高可用
二.实验环境:
nginx ---->后面有两个tomcat(一台服务器两个tomcat)
此处ngixn安装,jdk tomcat安装省略。
0.tomcat的访问地址:
tomcat 192.168.9.174:8080
tomcat2: 192.168.9.174:8081 ---->修改8005,8009,8080的端口
1.编写脚本查看sessionid
A.mkdir /usr/local/{tomcat,tomcat2}/webapps/demo
vim index.jps
C.重新启动tomcat : /usr/local/tomcat/bin/shutdown.sh && /usr/local/tomcat/bin/startup.sh
D.查看效果(只有sessionID是不同的,还有来自那台服务器的返回):
2.配置session共享:
A.修改配置文件: server.xml
在Server.xml中,找到被注释<Cluster/>节点,在下面添加如下内容
B.修改web.xml文件:
添加标签<distributable / >
mkdir /usr/local/{tomcat,tomcat2}/webapps/demo/WEB-INF
cp /usr/local/tomcat/ROOT/web.xml /usr/local/{tomcat,tomcat2)/webapps/demo/WEB-INF
D.重新启动tomcat:
/usr/local/tomcat/bin/shutdown.sh && /usr/local/tomcat/bin/startup.sh
E.查看端口监听状态:
F:关闭防火墙和selinux
/etc/init.d/iptables stop &&setenforce 0
3.配置nginx:
A.修改配置文件:
B:修改防火墙端口8002
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8002 -j ACCEPT
/etc/init.d/iptables restart
C.重新启动nginx:
/usr/local/nginx/sbin/nginx -s reload
4.测试:
注意:
目前此实验只成功于一台服务器多个tomcat并且访问的项目名一致。
在默认情况下,各个服务器会各自分别对同一个客户端产生SESSION ID,如对于同一个用户浏览器,A 服务器产生的 SESSION ID 是30de1e9de3192ba6ce2992d27a1b6a0a,而 B
服务器生成的则是c72665af28a8b14c0fe11afe3b59b51b。另外,PHP 的 SESSION
数据都是分别保存在本服务器的文件系统中。
确定了问题所在之后,就可以着手进行解决了。想要共享 SESSION 数据,那就必须实现两个目标:
一个是各个服务器对同一个客户端产生的 SESSION ID 必须相同,并且可通过同一个 COOKIE 进行传递,也就是说各个服务器必须可以读取同一个名为 PHPSESSID 的 COOKIE
另一个是 SESSION 数据的存储方式/位置必须保证各个服务器都能够访问到。 简单地说就是多服务器共享客户端的 SESSION ID,同时还必须共享服务器端的 SESSION
数据。
第一个目标的实现其实很简单,只需要对 COOKIE 的域(domain)进行特殊地设置即可,默认情况下,COOKIE 的域是当前服务器的域名/IP 地址,而域不同的话,各
个服务器所设置的 COOKIE 是不能相互访问的。
四、代码实现
首先创建数据表,MySQL 的 SQL 语句如下:
CREATE TABLE `sess` (
`sesskey` varchar(32) NOT NULL default '',
`expiry` bigint(20) NOT NULL default '0',
`data` longtext NOT NULL,
PRIMARY KEY (`sesskey`), KEY `expiry` (`expiry`)
) TYPE=MyISAM
sesskey 为 SESSION ID,expiry 为 SESSION 过期时间,data 用于保存 SESSION 数据。
默认情况下 SESSION 数据是以文件方式保存,想要使用数据库方式保存,就必须重新定义 SESSION 各个 *** 作的处理函数。PHP 提供了 session_set_save_handle()
函数,可以用此函数自定义 SESSION 的处理过程,当然首先要先将 session.save_handler 改成 user,可在 PHP 中进行设置: session_module_name('user')
接下来着重讲一下 session_set_save_handle() 函数,
此函数有六个参数:
session_set_save_handler ( string open, string close, string read,
string write, string destroy, string gc ) 各个参数为各项 *** 作的函数名,这些 *** 作依次是:
打开、关闭、读取、写入、销毁、垃圾回收。PHP 手册中有详细的例子,
在这里我们使用 OO 的方式来实现这些 *** 作,详细代码如下:
define('MY_SESS_TIME',3600)//SESSION 生存时长
//类定义
class My_Sess
{
/**
* 数据库连接对象,设置成了静态变量,因为不设置为静态变量,数据库连接对象在其他方法不能被调用,目前还不清楚什么原因
*
* @var obj
*/
static public $db
/**
* 构造函数
*
* @param obj $dbname 数据库连接对象
*/
function __construct($dbname){
self::$db = $dbname
}
/**
* 初始化session,使用数据库mysql来存储session的值,利用session_set_save_handler方法实现
*
*/
function init()
{
$domain = ''
//不使用 GET/POST 变量方式
ini_set('session.use_trans_sid',0)
//设置垃圾回收最大生存时间
ini_set('session.gc_maxlifetime',MY_SESS_TIME)
//使用 COOKIE 保存 SESSION ID 的方式
ini_set('session.use_cookies',1)
ini_set('session.cookie_path','/')
//多主机共享保存 SESSION ID 的 COOKIE,因为我是本地服务器测试所以设置$domain=''
ini_set('session.cookie_domain',$domain)
//将 session.save_handler 设置为 user,而不是默认的 files
session_module_name('user')
//定义 SESSION 各项 *** 作所对应的方法名
session_set_save_handler(
array('My_Sess','open'),//对应于类My_Sess的open()方法,下同。
array('My_Sess','close'),
array('My_Sess','read'),
array('My_Sess','write'),
array('My_Sess','destroy'),
array('My_Sess','gc')
)
//session_start()必须位于session_set_save_handler方法之后
session_start()
}
function open($save_path, $session_name) {
//print_r($sesskey)
return true
} //end function
function close(){
if(self::$db){
self::$db->close()
}
return true
}
function read($sesskey) {
$sql = 'SELECT `data` FROM `sess` WHERE `sesskey`=' . (self::$db->qstr($sesskey)) . ' AND `expiry`>=' . time()
$rs=self::$db->execute($sql)
if($rs){
if($rs->EOF){
return ''
} else {//读取到对应于 SESSION ID 的 SESSION 数据
$v = $rs->fields[0]
$rs->close()
return $v
}
}
return ''
}
function write($sesskey,$data){
$qkey = $sesskey
$expiry = time()+MY_SESS_TIME
$arr = array(
'sesskey' =>$qkey,
'expiry' =>$expiry,
'data' =>$data)
self::$db->replace('sess', $arr, 'sesskey', true)
return true
}
function destroy($sesskey) {
$sql = 'DELETE FROM `sess` WHERE `sesskey`='.self::$db->qstr($sesskey)
$rs =self::$db->execute($sql)
return true
}
function gc($maxlifetime = null) {
$sql = 'DELETE FROM `sess` WHERE `expiry`<'.time()
self::$db->execute($sql)
//由于经常性的对表 sess 做删除 *** 作,容易产生碎片,
//所以在垃圾回收中对该表进行优化 *** 作。
$sql = 'OPTIMIZE TABLE `sess`'
self::$db->Execute($sql)
return true
}
}
//使用 ADOdb 作为数据库抽象层。
require_once('adodb/adodb.inc.php')
//数据库配置项,可放入配置文件中(如:config.inc.php)。
$db_type = 'mysql'
$db_host = '127.0.0.1'
$db_user = 'root'
$db_pass = '111'
$db_name = 'sess_db'
//创建数据库连接。
$cnn=&ADONewConnection($db_type)
$cnn->Connect($db_host,$db_user,$db_pass, $db_name)
//初始化 SESSION 设置,初始化时已经包含了session_start()!
$sess = new My_Sess($cnn)
$sess->init()
$_SESSION['a']='aaa'
$_SESSION['b']='bbb'
$_SESSION['c']='ccc'
print_r($_SESSION)
?>
五、遗留问题 如果网站的访问量很大的话,SESSION 的读写会频繁地对数据库进行 *** 作,这样效率就会明显降低。考虑到 SESSION 数据一般不会很大,可以尝试用
C/Java 写个多线程的程序,用 HASH 表保存 SESSION 数据,并通过 socket 通信进行数据读写,这样 SESSION 就保存在内存中,读写速度应该会快很多。另外还可
以通过负载均衡来分担服务器负载。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)