session共享

为何要共享session

针对企业，为了应对庞大的用户访问压力，目前大多数大型网站服务器都采用集群部署的方式；针对个人，仅一台服务器而言，也会安装多个tomcat进行错时更新，保证更新后台业务时服务不断开，即模拟了集群的运行方式。在此集群中，我们就不得不考虑一个用户鉴权的问题，即在不同服务上如何保证用户均已登录，并能获取相同的用户登录信息。所以需要共享session到每一个服务器上面。

session的获取过程

服务器可将请求<->响应这一个完整的过程称为一次会话，并为这次会话生成一个唯一的标识符，即sessionId，用来表示这次会话，Session储存在服务器端；
Java Web的共用的用户鉴权机制是采用Session-Cookie技术，实现原理是：用户登录时，请求到达服务器，服务器调用通过getSession()方法判断session是否存在，如果不存在，则新建session，并通过其算法为session生成一个随机数作为sessionId，开发者可在session中储存一些用户信息；第二次请求时，如获取用户信息，getSession()方法判断session存在，则取出session，而不是新建，从而从session中获取到用户的相关信息。

getSession()里做了什么？

1.第一次用户请求，客户端本地没有任何数据，即其cookie为空，朝服务器发送request，getSession()中会解析request,发现其约定的cookie为null，则认为没有session，所以会重新创建一个session对象；

2.创建session后会将此session的id放入response中，回传给客户端，客户端则保存response中的cookie；

3.再次请求，服务器getSession()又会重新解析request获取cookie，发现了其中的sessionId，那么根据此sessionId去服务器的中去找，则得到了上次创建的session对象，那么则认为鉴权成功。

集群间如何实现session共享

按照前文所说的session-cookie机制，session是保存在每台服务器的，但在集群中，拥有多台服务器，每台各自为政，势必会造成在这台服务器中登录，获取session成功，但是到另一台服务器上，又会获取不到session，造成鉴权失败，这样对用户来说是极不友好的，那么怎么解决这个问题呢？

通过我们以上的分析，即可得出几种处理方式:
A.找一块公共的空间用来储存session，而不是将session储存在集群节点的某台服务器上，此时，每一台服务器都能访问这块空间，从而实现session共享；

B.仍在每台服务器上保存session信息，不作修改，但采用另一种同步机制，实时同步没一台服务器的session信息；

C.构建一种全新的鉴权机制，不采用session-cookie机制，但要去除此鉴权机制对单个服务器的依赖。

1.持久化session到数据库，即使用数据库来储存session。数据库正好是我们普遍使用的公共储存空间，一举两得，推荐使用mysql数据库，轻量并且性能良好。

优点：就地取材，符合大多数人的思维，使用简单，不需要太多额外编码工作
缺点：对mysql性能要求较高，访问mysql需要从连接池中获取连接，又因为大部分请求均需要进行登录鉴权，所以操作数据库非常频繁，当用户量达到一定程度之后，极易造成数据库瓶颈，不适用于处理高并发的情况。

2.使用redis共享session。redis是一个key-value的储存系统。可以简单的将其理解为一个数据库，与传统数据库的区别是，它将数据储存于内存中，并自带有内存到硬盘的序列化策略，即按策略将内存中的数据同步到磁盘，避免数据丢失，是目前比较流行的解决方

优点：无需增加数据库的压力，因为数据存储于内存中，所以读取非常快，高性能，并能处理多种类型的数据。
缺点：额外增加一些编码，以便操作redis。

3.使用memcache同步session，memcache可以实现分布式，可将服务器中的内存组合起来，形成一个“内存池”，以此充当公共空间，保存session信息。

优点：数据储存在内存中，读取非常快，性能好；
缺点：memcache把内存分成很多种规格的存储块，有大有小，不能完全利用内存，会产生内存碎片，浪费资源，如果储存块不足，还会产生内存溢出。

4.通过脚本或守护进程在多台服务器之间同步session。

优点：实现了session共享；
缺点：对个人来说实现较为复杂，速度不稳定，有延时性，取决于现实中服务运行状态，偶然性较大，如果用于访问过快，可能出现session还没同步成功的情况。

5.使用NFS共享session。NFS是Network File Server共享服务器的简称，最早由Sun公司为解决Unix网络主机间的目录共享而研发。选择一台公共的NFS做共享服务器，储存所有session数据，每台服务器所需的session均从此处获取

优点：较好的实现了session共享；
缺点：成本较高，对于个人来说难以实现。NFS依托于复杂的安全机制和文件系统，因此并发效率不高。

6.使用Cookie共享session。此方案可以说是独辟蹊径了，将分布式思想用到了极致。如上文分析所说，session-cookie机制中，session与cookie相互关联，以cookie做中转站，用来找到对应的session，其中session存放在服务器。那么如果将session中的内容存放在cookie中呢，那么则省略了服务器保存session的过程，后台只需要根据cookie中约定的标识进行鉴权校验即可。

优点：完美的贯彻分布式的理念，将每个用户都利用起来，无需耗费额外的服务器资源；
缺点：受http协议头长度限制，cookie中存储的信息不宜过多；为了保持cookie全局有效，所以其一般依赖在根域名下，所以基本上所有的http请求都需要传递cookie中的这些标记信息，所以会占用一些服务器的带宽；鉴权信息全存储于cookie中，cookie存在于客户端，服务器并没有储存相关信息，cookie存在着泄露的可能，或则其他人揣摩出规则后可以进行伪装，其安全性比其他方案差，故需要对cookie中信息进行加密解密，来增强其安全性。

###转自参考腾讯https://cloud.tencent.com/developer/article/1143159
本人菜鸟一枚，欢迎各位大佬指正批评。