SpringSession深入浅出(一)

已于 2023-04-08 22:51:56 修改
阅读量1.1k 收藏 2
点赞数
文章标签: 服务器 java 前端
于 2023-04-08 21:31:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adeyi/article/details/128525460
版权

一、session来由

要谈session,一定是要说到用它带场景http协议。http协议是无状态协议,就像鱼的记忆,即使是同一浏览器给客户端给同一个服务器再来请求,已经记不起来你是谁。在互联网早期,承载网页大部分都是静态简单的信息单向传递,用户打开新闻网页浏览、结束等是一种简单的交互方式。复杂场景下, 业务是复杂的,承载业务系统和用户之间有非常频繁的交互,一个操作可能涉及到多个请求,必须让http服务器记住你是谁。于是就有了cookie和session。

cookie和session都能针对请求中的特殊值进行存储,适合于标识多次请求之间公用的内容存储和传递。但要知道区别,合理使用:

  • 存储位置:cookie存储在客户端(如浏览器等);session存储在服务器端。

  • 空间限制:cookie由于所有访问网站都会使用客户端的公用空间,针对单条cookie的value大小和cookie总的条数都是有限制的,超出部分根据不同客户端策略会有不同的处理。例如某个泛域名由于cookie的个数很多,造成存储用户信息的cookie经常被逐出,导致用户频繁登录。session的存储一般更加灵活,一般借助于更“专业”的存储,比如普通的RDB、高速缓存Redis等。

  • 安全区别:cookie由于存储在客户端不够安全,在存储和传输的时候经过的环境比较复杂,可能会被截获、篡改、伪造等,一般存储需要进行加密、签名、防枚举。session存储在服务器端相对安全,可以存储的用户标识,角色、权限等相关信息公用基础信息。

  • 性能区别:cookie存储在本地,可以将信息冗余到本地,减少远程调用耗时,可以考虑将常用非敏感数据进行存储减少系统负担,提高性能。session存储在远程服务端,读取、传输都会消耗资源、耗时增加。

二、打算怎么设计

如果由你来设计一个session的实现框架怎么实现呢?要有哪些数据模型、关键业务动作

由于session需要进行持久化,我们如果简化思考,我们只存储在关系型数据库RDB,应该怎么设计表呢?

应该设置两张表,一个表存储基础的session信息,另外一个表存储session对应的其他信息

  • session基本信息表

字段名

字段说明

类型

备注

session_id

唯一ID

varchar

create_time

创建时间

datetime

update_time

更新时间

datetime

expire_time

失效时间

bigint

status

状态

varchar

  • session存储值表

字段名

字段说明

类型

备注

session_id

session的唯一ID

varchar

attribute_name

存储值的Key值

varchar

atrrbutie_value

存储的Value值

varchar

以上就是我们针对一个session的非常简单的初始设计思路。没错,spring-session也是以此为核心进行展开设计的。

三、spring-session代码结构

spring-session是spring家族中针对session的系列服务模块,不需要依赖于web容器,支持集群情况下的会话管理。

  • 支持替换应用Tomcat中的HttpSession

  • 接受webSocket消息使HttpS额生死哦你保持状态

  • 与应用容器无关的方式替换spring webflux

  • 提供和spring-security的更方便的集成

spring-session的代码部分包括:

  • spring-core:用于定义主要的接口、模型、事件、注解、基础配置模型

  • spring-session-data-mongodb:mongodb实现的session存储管理

  • spring-session-data-redis:利用redis实现的session管理

  • spring-session-jdbc:实现了利用关系型数据来实现的session存储管理

  • spring-session-hazelcast:演示了javaEE应用程序中如何与Hazelcast结合使用

      对比从我们自己的设计,来和spring-session比较一下,看看spring-session从设计的角度是如何一步步演进。

      Session模型设计,总体和我们之前设计的出入不大:

  • SessionRepository:Session的管理进行抽象,定义了session的新建、查找、删除的基本功能;

  • FindByIndexNameSessionRepository:为什么会扩展一个IndexName的Repository呢?提供了一种查找具有给定索引名称和索引值的所有会话的方法。作为所有提供的FindByIndexNameSessionRepository实现都支持的常见用例,有一种便捷的方法可以为特定用户查找所有会话。通过确保使用用户名填充名称.

  • ReactiveSessionRepository:这个用于非阻塞和反应式进行操作session。

  • HazelcastIndexSessionRepository:Hazecast实现

  • RedisIndexSessionRepository:高速缓存Redis的实现,存储调用spring-data-redis进行redis操作

  • MongoIndexSessionRepository:Mango数据库实现,存储调用spring-data-mongodb进行操作

  • JDBCIndexSessionRepository:RDB关系型数据库实现,支持几种主流的数据库实现Orcal、db2、mysql、SQLServer、PostgreSql。

四、产品架构

五、重点介绍几个技术点

1、如何和SpringSession集成

SessionRepositoryFilter:

SpringSession通过继承OncePerRequestFilter进行,spring框架的针对rpc请求的责任链注册进去的。filter的order需要保证考前执行。

DEFAULT_ORDER = Integer.MIN_VALUE + 50;

在链路中做了三件事情,

  • requst增强为SessionRepositoryRequestWrapper,主要增加的功能为:

    • 重写session操作

      • 提交:commitSession

      • 更新:setCurrentSession

      • 查找:getSession

      • 其他:

        • chanageSessionId:防止黑客拿到sessionID,进行身份冒充。通过change方式通知相关方刷新sessionId

  • response增强

  • 提交session

但是为什么要继承OncePerRequestFilter呢?直接注册普通的Filter行不行?

OncePerRequestFilter

OncePerRequestFilter,这个的作用是确保filter只执行一次,这个filter虽然长的和spring-web的一样,但这个是springweb框架的简化版,确保每个请求只执行一次。

/** * Allows for easily ensuring that a request is only invoked once per request. This is a * simplified version of spring-web's OncePerRequestFilter and copied to reduce the foot * print required to use the session support. * * @author Rob Winch * @since 1.0 */

关于spring-web中OncePerRequestFilter。

Filter base class that aims to guarantee a single execution per request dispatch, on any servlet container. It provides a doFilterInternal method with HttpServletRequest and HttpServletResponse arguments. As of Servlet 3.0, a filter may be invoked as part of a REQUEST or ASYNC dispatches that occur in separate threads. A filter can be configured in web.xml whether it should be involved in async dispatches. However, in some cases servlet containers assume different default configuration. Therefore sub-classes can override the method shouldNotFilterAsyncDispatch() to declare statically if they should indeed be invoked, once, during both types of dispatches in order to provide thread initialization, logging, security, and so on. This mechanism complements and does not replace the need to configure a filter in web.xml with dispatcher types. Subclasses may use isAsyncDispatch(HttpServletRequest) to determine when a filter is invoked as part of an async dispatch, and use isAsyncStarted(HttpServletRequest) to determine when the request has been placed in async mode and therefore the current dispatch won't be the last one for the given request. Yet another dispatch type that also occurs in its own thread is ERROR. Subclasses can override shouldNotFilterErrorDispatch() if they wish to declare statically if they should be invoked once during error dispatches. The getAlreadyFilteredAttributeName method determines how to identify that a request is already filtered. The default implementation is based on the configured name of the concrete filter instance. Since: 06.12.2003 Author: Juergen Hoeller, Rossen Stoyanchev

3、Redis实现

利用redis实现session的存储方式,使用模式比较常用,这里重点关注一下

redis存储sessionKey的设计

发起一条http请求到spring框架,这个时候框架会写入session信息,举例:

  HMSET spring:session:sessions:33fdd1b6-b496-4b33-9f7d-df96679d32fe creationTime 1404360000000 maxInactiveInterval 1800 lastAccessedTime 1404360000000 sessionAttr:attrName someAttrValue sessionAttr:attrName2 someAttrValue2

  EXPIRE spring:session:sessions:33fdd1b6-b496-4b33-9f7d-df96679d32fe 2100

  APPEND spring:session:sessions:expires:33fdd1b6-b496-4b33-9f7d-df96679d32fe ""

  EXPIRE spring:session:sessions:expires:33fdd1b6-b496-4b33-9f7d-df96679d32fe 1800

  SADD spring:session:expirations:1439245080000 expires:33fdd1b6-b496-4b33-9f7d-df96679d32fe

  EXPIRE spring:session:expirations1439245080000 2100

意味着:

  1. 创建了一条33fdd1b6-b496-4b33-9f7d-df96679d32fe的session
  2. 这个session的创建时间为1404360000000(从19701.1年开始)
  3. 这个session有两个属性attrName,attrName2;

redis的几个关键Key:

  • spring:session:sessions:
    • 用于存储每一个session的内的各种属性
    • 过期时间为都会+5分钟,便于在过期后还能访问到session的相关内容。

You will note that the expiration that is set is 5 minutes after the session actually expires. This is necessary so that the value of the session can be accessed when the session expires. An expiration is set on the session itself five minutes after it actually expires to ensure it is cleaned up, but only after we perform any necessary processing.

  • findById:会针对获取的session进行有效期判定,如果过期默认不返回(接口参数开关可以设置是否返回过期session)
  • spring:session:sessions:expires
  • 用来存储一个Key对应的空的缓存
  • 在过期的时候,会产生过期事件,但是无法保证key的过期时间抵达后立即生成过期事件。spring-session为了能够及时的产生Session的过期时的过期事件
  • spring:session:expirations
  • 过期key的一个“筒”,每分钟生成一个,将这一分钟之内生成新的sessionId全部放在这个里面。
  • spring-session中有个定时任务,每个整分钟都会查询相应的spring:session:expirations:整分钟的时间戳中的过期SessionId,然后再访问一次这个SessionId,即spring:session:sessions:expires:SessionId,不做删除只查询一次,触发redis删除cookie,以便能够让Redis及时的产生key过期事件

事件:

springSession提供针对session生命周期的扩展点,用户可针对session的变化定义上层业务行为。通过spring-data-redis的RedisMessageListenerContainer进行事件监听。事件包括:

  • SessionCreatedEvent:创建session时的事件
    • "spring:session:channel:created:${sessionId}"发送redis事件,服务器集群内机器将收到SessionCreatedEvent事件
  • SessionDestroyedEvent:通过destroy方法产生的事件
  • SessionDeletedEvent:通过删除产生的事件
  • SessionExpiredEvent:session过期产生事件

上述事件,在一些长连接,例如:Spring Session's WebSocket场景中,可以通过在session过期的时候及时关闭连接。更多redis事件信息看这里

如何关闭事件

ConfigureNotifyKeyspaceEventsAction用于注册redis的事件中,集成于ConfigureRedisAction。如果要关闭事件机制,需要实现固定ConfigureRedisAction设置这个Bean为NO_OP就可以

@Bean

public static ConfigureRedisAction configureRedisAction() {

return ConfigureRedisAction.NO_OP;

}

XML定义Bean

<util:constant

static-field="org.springframework.session.data.redis.config.ConfigureRedisAction.NO_OP"/>

4、更详细的技术点介绍

六、其他

1、session和Tomcat

StandardSession来定义的session主要模型,通过实现Session、Serializable、HttpSession等几个接口,通过外观模式,封装session的基础服务。

spring的attribute存在ConcurrentHashMap中

/** * The collection of user data attributes associated with this Session. */protected Map<String, Object> attributes = new ConcurrentHashMap<String, Object>();

tomcat是如何做session 同步的? 如果不是单体应用,一个应用在集群的多台机器中,如果session各自独立,就无法实现,这个时候就需要进行会话保持。会话保持有几种方式:

负载均衡会话保持

  • 简单会话保持:根据访问请求的源地址作为判断关连会话的依据,对来自同一IP地址的所有访问请求在作负载均时都会被保持到一台服务器上去。

  • cookie模式:将会话标识在后端服务器中间进行读取、插入;

  • SSL sessionId模式:SSL环境中,在建立SSL中插入SSL SessionID信息进行会话保持

关键服务模型

DeltaSession

主要目的是用于集群间同部的session模型,除了实现上述的StandardSession之外,还实现了Externalizable、ClusterSession、ReplicatedMapEntry三个接口,特别实现了集群间同步服务、比较服务等。

一个请求作为一个完整颗粒度,修改属性的操作会放在指定的队列中,然后将其同步到集群其他节点,节点一次执行本次针对会话属性的操作。

​​​​​​​

StandardManager

标准的实现session的服务,提供一个专门管理某个web应用所有会话的容器,并且会在web应用启动停止时刻进行会话重加载和持久化。例如会话id生成、根据会话id找出对应的会话、对于过期的会话进行销毁等等操作。

DeltaManager

DeltaManager会话管理器是tomcat默认的集群会话管理器,它主要用于集群中各个节点之间会话状态的同步维护。会话同步通信解决方案,写入完成后才会相应客户端。为区分不同的动作必须要先定义好各种事件,例如会话创建事件、会话访问事件、会话失效事件、获取所有会话事件、会话增量事件、会话ID改变事件等等,实际上tomcat集群会有9种事件

PersistentManager

用于存储session的管理服务,实现各种会话存储方式。作为存储设备最重要的操作无非就是读写操作,读即是将会话从存储设备加载到内存中,而写则将会话写入存储设备中,所以定义了两个重要的方法load和save与之相对应。FileStore和JDBCStore只要扩展Store接口各自实现load和save方法即可分别实现以文件或数据库形式存储会话。

闫帅傅方面面
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring Boot redis连接池配置,Spring Session配置
yangliuhbhd的博客
05-10 2万+
1.POM配置 redis.clients jedis 2.9.0 org.springframework.session spring-session-data-redis 2.配置文件application.properties # REDIS (RedisProperties) # Redis数据库索引(默认为0) spr
springsession原理及redis缓存处理
asmall_cat的博客
05-10 4382
1 Redis 中数据 通过springsession存储了用户的session数据,如下: "spring:session:expirations:1634214780000" 记录了失效时间是哪个session的,指向下面的key "spring:session:sessions:6317e334-90e9-4f55-a1f5-07492a8c8b2a" 保存了session相关信息(创建时间,session保存的对象信息,最大超时时间:默认1800秒,最后的修改时间) "spring:
spring session
bintoYu的博客
02-05 659
一、spring session的使用 利用spring boot可以很容易地实现spring session,传送门:SpringBoot之使用Spring Session集群-redis 二、
Spring Session使用
cristianoxm的博客
10-14 2494
一、session的处理方式 参考本人这篇文章 二、spring session使用的session管理方式 就是Session集中管理的方式: 优点:可靠性高,减少Web服务器的资源开销。 缺点:实现上有些复杂,配置较多。 适用场景:Web服务器较多、要求高可用性的情况。 三、spring session的具体使用 HttpSession的管理 HttpSession是通过Servlet容器创建和管理的,像Tomcat/Jetty都是保存在内存中的。但是把应用搭建成分布式的集群,然后利用F5、
Spring Session Redis最佳实践(2)认识Redis中的数据存储
haiyangyiba的专栏
05-25 2093
欢迎转至站内查看原文,链接为:https://www.chendd.cn/information/viewInformation/experienceShare/310.a 前一文我通过一些示例实践实现了一个较为简单的Spring Session Redis的数据管理,本篇主要说一下Session数据存储在Redis中的数据结构及使用Jedis进行一些小小的Junit测试一下,将存储至Redis...
WebWork深入浅出
04-29
【WebWork深入浅出】 WebWork是一个由OpenSymphony组织开发的J2EE Web框架,其目标在于提高组件化和代码重用。该框架的主要特点是简洁、灵活且功能强大,基于Command模式设计,能有效解决Web层在三层架构中面临的...
浅谈SSH学习要点
09-15
SSH框架,全称为Struts+Spring+Hibernate,是Java企业级开发中常用的一种技术栈,主要用于构建基于MVC(Model-View-Controller)设计模式的Web应用。在本篇文章中,我们将深入探讨这三个组件的核心概念和进阶用法,...
轻量级J2EE+企业应用实战+Struts+Spring+Hibernate整合开发
05-08
《轻量级J2EE+企业应用...总的来说,《轻量级J2EE+企业应用实战+Struts+Spring+Hibernate整合开发》是一本实用性极强的J2EE开发手册,通过深入浅出的讲解和丰富的实践案例,为读者搭建了一座通往高效J2EE开发的桥梁。
最新Java面试题视频网盘,Java面试题84集、java面试专属及面试必问课程
06-24
├─面试必问-微服务架构深入浅出讲解springcloud │ 微服务架构 --深入浅出讲解springcloud.mp4 │ ├─面试必问-教你手写MyBatis框架 │ 一小时教你手写MyBatis框架.mp4 │ ├─面试必问-架构杀手锏——java混乱...
J2EE学习路线
12-15
推荐的书籍包括《Java核心技术(第七版)》、《Java web 开发详解》、《JSP 网络编程》、《JSP 程序开发范例宝典》、《JavaScript 完全自学手册》、《锋利的jQuery》、《深入浅出ExtJs》、《Struts2 权威指南》、...
SpringSession同时支持Cookie和header策略
04-27
NULL 博文链接:https://309593586-qq-com.iteye.com/blog/2415463
SpringSession+redis解决分布式session不一致性问题
INGNIGHT的专栏
06-25 1813
七、案例实战:SpringSession+redis解决分布式session不一致性问题 步骤1:加入SpringSessionredis的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-redis</artifactId> <version>1.4.7.RELEASE&lt
Spring Session event事件分析
weixin_30765577的博客
04-10 588
1.org.apache.catalina.session.StandardSession 这是servlet-api jar包中的一个类。是session接口的标准实现。当session创建的时候会通知监听者,同理,session销毁的时候也会产生事件,代码如下: /** * Inform the listeners about the new session. ...
1. Spring Session 简介
热门推荐
Java 程序源
08-27 1万+
Spring session 是用来解决分布式环境下的session共享问题的. 不仅支持HttpSession, 也支持WebSession和WebSocket. 不过笔者基本上没使用过WebSession和WebSocket, 所以笔者只介绍HttpSession 的用法. 1. Spring Session 简介 spring session 提供了管理用户session信息的API和实现,...
Spring Boot 2.0.0.M7 使用Spring Session实现集群-redis
架构师的成长之路的博客
01-12 5413
spring boot 2.0.0.M7 使用Spring Session实现集群-redis更多干货spring-boot系列一 之restfull api与多环境配置springboot系列二之 日志SpringBoot系列三之 MVC 模版引擎SpringBoot 2.0.0.M7 系列四 异常处理springboot 2.0.0.M7之 注解 与 配置springboot 2.0.0.M7...
Spring Boot 分布式会话
weixin_45743799的博客
02-18 239
应用范围 为了使Web能适应大规模的访问,需要实现应用程序的集群部署 实现集群部署首先要解决session的统一,即需要实现session的共享机制,即分布式会话 分布式Session的实现方式 基于resin/tomcat web容器本身的session复制机制 基于NFS共享文件系统 基于Cookie进行session共享 基于数据库的Session共享 基...
Spring Session 实现会话共享案例详细分析
奥迪的博客
10-16 730
Spring Session 一、 HttpSession 回顾 1 什么是 HttpSessionJavaWeb 服务端提供的用来建立与客户端会话状态的对象。 二、 Session 共享 1 什么是 Session 共享 是指在一个浏览器对应多个 Web 服务时,服务端的 Session 数据需要共享。 2 Session 共享应用场景 1) 单点登录 2) Web 服务器集群等场景都需要用到 3 Session 共享常见的解决方案 ...
Web开发中的Session详解及原理分析
qianfeng_dashuju的博客
09-23 616
一. HttpSession机制 1.HTTP协议与HttpSession的状态保持 Session经常被翻译为会话,其本来的含义是指有始有终的一系列动作/消息。比如打电话时,从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个Session。而在网络中,Session是指从一个浏览器窗口打开再到关闭的这个期间。互联网应用层协议基本都是基于 HTTP 和 HTTPS 协议的,它们的本身都是无状态的, 也就是只负责网络的请求和响应。 我们只需要告诉服务器我们需要什么,服务器就会给我们返回相应的资源。.
SpringSession教程
koflance的博客
03-27 5329
基本概念Spring Session提供了API和实现,用于管理用户的Session信息。除此之外,它还提供了如下集成: HttpSession-用于替换应用容器的HttpSession实现,并提供了新的功能,例如集群Session(Clustered Sessions)、多用户Session(Multiple Browser Sessions,即一个浏览器多个用户使用)、RESTful APIs(
spring-boot-starter-data-redis 没有引入spring-session-core
最新发布
08-19
嗨!关于你的问题,`spring-boot-starter-data-redis` 和 `spring-session-core` 是两个不同的依赖项。 `spring-boot-starter-data-redis` 是用于在 Spring Boot 项目中集成 Redis 数据库的依赖项。它主要提供了与 Redis 进行交互的功能,例如连接池管理、数据序列化等。 而 `spring-session-core` 是 Spring Session 框架的核心依赖项。Spring Session 是一个用于在分布式环境中管理会话的框架,它可以将会话数据存储在不同的后端存储中,包括 Redis。但它并不是 Redis 的直接依赖项,而是提供了与 Redis 进行集成的功能。 所以,如果你需要在 Spring Boot 项目中同时使用 `spring-boot-starter-data-redis` 和 `spring-session-core`,你需要手动添加 `spring-session-core` 的依赖项到你的项目中。具体的依赖项可以根据你的项目需求和版本进行选择。 希望这个解答对你有帮助!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值