微服务架构下的session一致性

本文由宜信-高级架构师-梁鑫投稿,之前在社区分享过两篇文章,分别介绍了一下在公司项目中搭建springcloud框架的经验和我们自己研发的几个微服务组件。在这个过程中,我们还需要解决微服务架构中特别需要注意的一个问题————session一致性。在此,抱着学习的态度把我的解决方案跟大家再次分享一下。

一.背景.绕不开的session一致性

采用微服务架构以后,把原先单一的节点拆解成了多个微服务节点。在采用微服务架构之前,我们的项目普遍采用的都是分布式集群架构,多数的公司项目都采用IP哈希的方式进行session的跟踪,这样做非常简单,只需要在nginx简单配置即可,但我们采用springcloud微服务架构之后,session一致性保持就成了我们必须要解决的问题。

二.Session一致性的常见方式

简单说一下session和session一致性。服务为访问他的用户构造了一组信息,称之为会话(session),当该用户在限定时间内每次发起http访问时,服务端能自动感知到是该用户在发起访问,称之为会话保持(session一致性)

2.1、IP哈希

使用反向代理(nginx),对用户的IP进行hash操作,确保唯一IP地址每次都访问一个相同的服务。

2.2、Session复制

把每个用户的session都同步复制到集群中的每一个服务节点,这样无论用户访问哪个服务节点,都能获取到自己的session信息。

2.3、Session客户端存储

把session信息保存到客户端的cookie中。

2.4、Session分布式存储

把session信息保存到后端的其它存储中,例如mysql,redis,memcached等。

三.微服务架构下的session一致性

3.1 原理图

3.2 基于shiro的session

  • 我们采用了shiro作为权限控制组件;


  • 构造ShiroConfig,需要包含SessionManager,SecurityManager对象,并且在filter中过滤掉不需要拦截的地址,比如Actutor的EndPonit信息;


  1. ...

  2. @Bean

  3. public SessionManager sessionManager() {

  4.    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

  5.    sessionManager.setCacheManager(redisCacheManager());

  6.    sessionManager.setGlobalSessionTimeout(60000);

  7.    sessionManager.setDeleteInvalidSessions(true);

  8.    sessionManager.setSessionValidationSchedulerEnabled(true);

  9.    sessionManager.setDeleteInvalidSessions(true);

  10.    sessionManager.setSessionIdCookie(simpleCookie());

  11.    sessionManager.setSessionDAO(sessionDAO);

  12.    return sessionManager;

  13. }

  14. @Bean

  15. public DefaultWebSecurityManager securityManager() {

  16.    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

  17.    securityManager.setSessionManager(sessionManager());

  18.    securityManager.setCacheManager(redisCacheManager());

  19.    securityManager.setRealm(getShiroRealm());

  20.    return securityManager;

  21. }

  22. @Bean("shiroFilter")

  23. public ShiroFilterFactoryBean shiroFilterFactoryBean() {

  24.    ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

  25.    Map<String, String> chains = new LinkedHashMap<String, String>();

  26.    chains.put("/autoconfig", "anon");

  27.    chains.put("/beans", "anon");

  28.    chains.put("/configprops", "anon");

  29.    chains.put("/dump", "anon");

  30.    chains.put("/env", "anon");

  31.    chains.put("/health", "anon");

  32.    chains.put("/info", "anon");

  33.    chains.put("/metrics", "anon");

  34.    chains.put("/mappings", "anon");

  35.    chains.put("/shutdown", "anon");

  36.    chains.put("/trace", "anon");

  37.    shiroFilter.setFilterChainDefinitionMap(chains);

  38.    return shiroFilter;

  39. }

  40. ...

  • 构造ShiroUser作为session的主要保存信息,用户的ID,账号,名称等;

  1. public class ShiroUser implements Serializable {

  2.    private static final long serialVersionUID = -4661753370573516137L;

  3.    private Integer id;          // 主键ID

  4.    private String username;     // 账号

  5.    private String name;         // 姓名

  6.    public Integer getId() {

  7.        return id;

  8.    }

  9.    public void setId(Integer id) {

  10.        this.id = id;

  11.    }

  12.    public String getUsername() {

  13.        return username;

  14.    }

  15.    public void setUsername(String username) {

  16.        this.username = username;

  17.    }

  18.    public String getName() {

  19.        return name;

  20.    }

  21.    public void setName(String name) {

  22.        this.name = name;

  23.    }

  24. }

  • 集成公司ldap;

  1. /**

  2. * 建立连接

  3. */

  4. public void connect() {

  5.    Hashtable<String, String> env = new Hashtable<String, String>();

  6.    env.put(Context.INITIAL_CONTEXT_FACTORY, FACTORY);

  7.    env.put(Context.PROVIDER_URL, URL + BASEDN);

  8.    env.put(Context.SECURITY_AUTHENTICATION, "simple");

  9.    env.put(Context.SECURITY_PRINCIPAL, ldapUserName); // 管理员

  10.    env.put(Context.SECURITY_CREDENTIALS, ldapPassword); // 管理员密码

  11.    try {

  12.        ctx = new InitialLdapContext(env, connCtls);

  13.        logger.info("连接成功");

  14.    } catch (AuthenticationException e) {

  15.        logger.error("连接失败", e);

  16.    }

  17. }

  18. /**

  19. * 用户验证

  20. */

  21. public boolean validate(String userName, String password) {

  22.    try {

  23.        ctx.addToEnvironment(Context.SECURITY_PRINCIPAL, userName);

  24.        ctx.addToEnvironment(Context.SECURITY_CREDENTIALS, password);

  25.        ctx.reconnect(null);

  26.        return true;

  27.    } catch (AuthenticationException e) {

  28.        logger.error("连接失败", e);

  29.    }

  30.    return false;

  31. }

3.3 采取redis存储session

  • 加入redis存储,构造RedisCacheManager;

  1. public class RedisCacheManager implements CacheManager {

  2.    @Resource

  3.    private RedisTemplate<String, Object> redisTemplate;

  4.    @Override

  5.    public <K, V> Cache<K, V> getCache(String name) throws CacheException {

  6.        return new GantryCache<K, V>(name, redisTemplate);

  7.    }

  8.    ...

  9. }

  • 构造RedisSessionDAO,通过dao对象最终对redis进行操作,需要包含redisTemplate对象;

  1. @Component

  2. public class RedisSessionDAO extends EnterpriseCacheSessionDAO {

  3.    private static int expireTime = 1800;

  4.    private static String prefix = "gantry-session:";

  5.    @Resource

  6.    private RedisTemplate<String, Object> redisTemplate;

  7.    /**

  8.     * 创建session,保存到数据库

  9.     */

  10.    @Override

  11.    protected Serializable create(Session session) {

  12.        redisTemplate.opsForValue().set(prefix + sessionId.toString(), session);

  13.        return sessionId;

  14.    }

  15.    /**

  16.     * 获取session

  17.     */

  18.    @Override

  19.    protected Session query(Serializable sessionId) {

  20.        if (session == null) {

  21.            session = (Session) redisTemplate.opsForValue().get(prefix + sessionId.toString());

  22.        }

  23.        return session;

  24.    }

  25.    /**

  26.     * 更新session的最后一次访问时间

  27.     */

  28.    @Override

  29.    protected void uppdate(Session session) {

  30.        String key = prefix + session.getId().toString();

  31.        if (!redisTemplate.hasKey(key)) {

  32.            redisTemplate.opsForValue().set(key, session);

  33.        }

  34.        redisTemplate.expire(key, expireTime, TimeUnit.SECONDS);

  35.    }

  36.    /**

  37.     * 删除session

  38.     */

  39.    @Override

  40.    protected void delete(Session session) {

  41.        redisTemplate.delete(prefix + session.getId().toString());

  42.    }

  43. }

  • Shiro的SessionManager对象支持注入RedisSessionDAO对象,从而使用redis存储session;

  1. ...

  2. @Resource

  3. private RedisSessionDAO sessionDAO;

  4. @Bean

  5. public SessionManager sessionManager() {

  6.    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

  7.    ...

  8.    sessionManager.setSessionDAO(sessionDAO);

  9.    return sessionManager;

  10. }

3.4 构建cookie

  • 在服务端创建cookie,注意cookie的httpOnly属性,只有当httpOnly属性设置为false时,才能通过javascript获取cookie值;

  1. ...

  2. @Bean

  3. public SimpleCookie simpleCookie() {

  4.    SimpleCookie simpleCookie = new SimpleCookie("sid");

  5.    simpleCookie.setHttpOnly(false);

  6.    simpleCookie.setMaxAge(-1);

  7.    simpleCookie.setName("GANTRYSESSIONID");

  8.    return simpleCookie;

  9. }

  10. ...

  • 在javascript中获取cookie;

  1. ...

  2. function getCookie(cookieName) {

  3.    var strCookie = document.cookie;

  4.    var arrCookie = strCookie.split("; ");

  5.    for (var i = 0; i < arrCookie.length; i++) {

  6.        var arr = arrCookie[i].split("=");

  7.        if (cookieName == arr[0]) {

  8.            return arr[1];

  9.        }

  10.    }

  11.    return "";

  12. }

  13. ...

3.5 微服务节点间sessionid的传递

  • 在cookie中获取sessionid,在url中拼接jsessionid;

  1. ...

  2. function openNewService(url) {

  3.    var id = getCookie("GANTRYSESSIONID")

  4.    window.open(url + ";jsessionid=" + id);

  5. }

  6. ...

3.6 在微服务节点B接收sessionid并在redis中获取session

  • 获取并保存sessionid;

  1. ...

  2. @RequestMapping("/")

  3. public String index(HttpServletRequest request) {

  4.    String sessionId = request.getRequestedSessionId();

  5.    request.getSession().setAttribute("SHIROSESSIONID", sessionId);

  6.    return "index.html";

  7. }

  8. ...

  • 通过sessionid从redis中获取session;

  1. ...

  2. @Autowired

  3. private RedisCacheManager redisCacheManager;

  4. @RequestMapping(value = "/someMethod", produces = "application/json;charset=UTF-8")

  5. @ResponseBody

  6. public String someMethod(HttpServletRequest request) throws IOException {

  7.    String SHIROSESSIONID = (String) request.getSession().getAttribute("SHIROSESSIONID");

  8.    String sessionId = request.getRequestedSessionId();

  9.    if (redisCacheManager == null) {

  10.        ...

  11.    }

  12.    Object shiroCacheObject = redisCacheManager.getCache("*");

  13.    if (shiroCacheObject == null) {

  14.        ...

  15.    }

  16.    ShiroCache shiroCache = (ShiroCache) shiroCacheObject;

  17.    Object sessionObject = shiroCache.get(SHIROSESSIONID);

  18.    if (sessionObject == null) {

  19.        ...

  20.    }

  21.    Session session = (Session) sessionObject;

  22.    ShiroUser user = (ShiroUser) session.getAttribute("user");

  23.    ...

  24. }

  25. ...

作者:宜信-高级架构师-梁鑫

阅读更多
换一批

没有更多推荐了,返回首页