Spring Session Redis 在不同服务间共享 Session 时的类共享方案

最新推荐文章于 2022-09-14 07:58:52 发布
最新推荐文章于 2022-09-14 07:58:52 发布
阅读量262 收藏 1
点赞数
文章标签: 数据库 java
原文链接:https://my.oschina.net/j4love/blog/3100927
版权

Spring Session Redis 是不安全的

当在多服务之间使用 Spring Session Redis 进行 Session 共享要非常小心,因为它很不安全,很有可能导致整个服务实例不可用,无法处理任何请求。其中比较危险的地方就是在进行序列化,反序列化的时候(这种类型的错误尤其容易在没有开发规范的团队内发生,就是什么样的数据可以往共享存储里面存,什么样的不能存。存的时候要以什么样的格式去存,这些都要有规定才比较安全。因为共享存储是会影响到别人的不仅仅是为了自己的服务用起来方便)。RedisSerializer 接口的实现都是在序列化和反序列化出错的时候直接抛出异常从而导致整个请求错误。

public interface RedisSerializer<T> {

	/**
	 * Serialize the given object to binary data.
	 * 
	 * @param t object to serialize
	 * @return the equivalent binary data
	 */
	byte[] serialize(T t) throws SerializationException;

	/**
	 * Deserialize an object from the given binary data.
	 * 
	 * @param bytes object binary representation
	 * @return the equivalent object instance
	 */
	T deserialize(byte[] bytes) throws SerializationException;
}

 

下面用一张图来说明我遇到的问题。Spring Session 的诞生老实说并不是为了分布式系统,而是为集群系统提供了一种 Session 解决方案。但是我们把 Spring Session 用在了分布式系统上用以解决 Session 共享的问题老实说本身就是有点难为人家 Spring Session 了 。

e7a79a49a18abd3e010e61f8ac8b918b62d.jpg

 

Spring Session 实现 Session 共享的大致原理

Spring Session 实现 Session 共享的大致原理如下图所示 , 使用一个 Filter 来拦截所有请求,在拦截到请求之后对 HttpServletRequest 和 HttpServletResponse 进行包装 (HttpServletRequestWrapper  , HttpServletResponseWrapper)。在包装中对 session 进行控制 ,将 session 数据都存储在第三方存储当中。

9de7300e67b9d55815f1851696197a3af90.jpg

 

Spring Session Redis 在不同服务间共享 Session 时的类共享方案

在了解了 Spring Session 的工作原理后再去考虑这个问题就有头绪了 。还是通过图形的方式来做大概的说明。

fa1bd9e8e6cda7041d0671cf8bb90582918.jpg

 

学习 Spring Session 的 SessionRepositoryFilter 的实现方式 , 添加一个 Filter 顺序在 SessionRepositoryFilter 之后 , 在拦截过程中包装 HttpServletRequest , 重写 getSession(boolean create)  和 getSession() 方法, 自定义一个 SafetyHttpSessionWrapper 包装 Session ,重写 setAttribute(String name , Object value) 函数 , 在保存属性成功后利用 redis 的发布订阅机制发送消息到 redis , 消息的内容为所保存对象的 .class 文件数据。在消息订阅端 , 接收到消息后利用 javassist 和 net.bytebuddy.dynamic.loading.ByteArrayClassLoader 将 .class 文件数据加载转换成 Class 的实例对象,但是这个  Class 实例的范围被限定在 ByteArrayClassLoader 中 , 而这个 ByteArrayClassLoader 是提供给 RedisSerializer 内部使用的 , 比如 JdkSerializationRedisSerializer , GenericJackson2JsonRedisSerializer 都需要使用到 ClassLoader 。这样当 服务A 在存储任何自定义的对象在 Session 中时, 访问服务 B 也不会出现读取 Session 反序列化 ClassNotFoundException 的错误了。

 

初版代码实现

以上思路的代码实现在 WORKX 项目中,感兴趣的同学可以参考 org.hepeng.workx.spring.session.redis.serializer 这个包下的代码。从 org.hepeng.workx.spring.session.redis.serializer.SafetyRedisSerializerConfiguration 这个类入手看源码。目前 RedisSerializer 组件只支持了 JdkSerializationRedisSerializer , GenericJackson2JsonRedisSerializer 以及它们的子类。

转载于:https://my.oschina.net/j4love/blog/3100927

chezhi7609
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
session共享作用_session的理解与使用
weixin_31430653的博客
01-21 730
Session 学习:问题:Request 对象解决了一次请求内的不同 Servlet 的数据共享问题,那么一个用户的不同请求的处理需要使用相同的数据怎么办呢?解决:使用 session 技术。原理:用户使用浏览器第一次向服务器发送请求,服务器在接受到请求后,调用对应的 Servlet 进行处理。在处理过程中会给用户创建一个 session 对象,用来存储用户请求处理相关的公共数据,并将sessi...
redis session共享,拿着直接用(负载均衡
05-12
负载均衡负载均衡负载均衡负载均衡负载均衡负载均衡负载均衡负载均衡
Cookie和Session学习,技术解决不同请求发送之的数据共享问题
qq_43171656的博客
07-11 498
对于浏览器和服务器的交互模式,以及请求的处理都有了理解,并且也能够进行请求的处理。围绕整个流程再次进行技术优化,重点学习 Cookie 技术,此技术的应用面是非常广的。 问题: HTTP是无状态,无连接的,在一次请求结束后,相关数据会被销毁。那么第二次请求需要使用相同的数据要怎么办呢? 使用cooik技术在浏览器端存储信息 解释: Cookie 技术其实是浏览器端的数据存储技术,解决了同一个工程下不同请求 需要使用相同的请求数据的问题。我们把请求需要共享的请求数据,存储在浏览器端,避免用户进行重复的书.
Session的数据共享
weixin_30823227的博客
09-20 313
要体现出Session的数据共享,需要建立两个Servlet: 第一个:建立Session,将值设置为Tom。 protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { r...
session共享作用_Java修行第055and056天---cookie和session以及Context和Config
weixin_35135418的博客
01-20 203
1 cookie学习(1)cookie的作用为了解决不同请求之数据共享的问题(2) cookie的特点数据的声明是在服务器端,真正的存储是在浏览器端(3)服务器向客户端写入cookie方式:String p=req.getParameter(“pp”);Cookie c=new Cookie(“pp”,p);//创建cookie对象resp.addCookie(c);//响应cookie数据(...
SpringCloud实现Redis在各个微服务Session共享问题
08-27
"Session共享问题解决方案SpringCloud实现Redis在各个微服务Session共享" 在微服务架构中,Session共享问题是一个常见的问题。随着微服务的增加,Session的管理变得越来越复杂。为了解决这个问题,使用Redis来...
SpringSession+Redis实现集群会话共享的方法
09-09
为了保证WEB应用的承载能力, 需要对WEB应用进行集群处理.这篇文章主要介绍了SpringSession+Redis实现集群会话共享的方法,需要的朋友参考下吧
利用Spring SessionredisSession进行共享详解
08-29
Spring SessionRedis的结合提供了一种有效解决方案,使得多个应用服务器之能够共享用户的Session数据,从而确保用户在不同服务器之的会话一致性。 Spring Session是一个开源项目,它扩展了Spring MVC的功能,...
详解基于Spring Boot/Spring Session/Redis的分布式Session共享解决方案
08-30
基于Spring Boot/Spring Session/Redis的分布式Session共享解决方案可以满足我们的需求,它可以将Session信息存储在Redis中,从而实现Session共享。这种解决方案可以应用于各种分布式Web系统中,以提高系统的可扩展...
学习Spring-Session+Redis实现session共享的方法
08-30
在学习Spring-Session+Redis实现session共享的方法中,我们可以了解到session共享的重要性及其实现方式。本篇文章主要介绍了使用Spring-Session+Redis实现session共享的方法,并提供了详细的配置步骤和示例代码。 ...
分布式下session共享问题(redis + springsession)
最新发布
09-14 503
2. 同一个服务,复制多份,session不同步问题。1. 不同服务sessionn不能共享问题。
SpringBoot中存放sessionRedis
weixin_34395205的博客
02-07 856
前言 今天你们将再一次领略到SpringBoot的开发到底有多快,以及SpringBoot的思想(默认配置) 我们将使用redis存放用户的session,用户session存放策略有很多,有存放到内存的,有存放数据库的,也有存放redis。这里我们使用redis存放,目的是,当服务器重启,用户的session信息也没有丢失。 已经加入我的github模版中:https://github.c...
神器之ByteBuddy,字节码注入分析代码执行性能
Rick的专栏
05-10 3768
前文 一路上看见晦涩难懂的ASM,小巧可人的Javassist。直到遇见了ByteBuddy才知世上竟有如此的冷艳简洁。 JavaAgent 从Jdk1.5开始Java开始支持Java Agent特性,可以通过premain方法,在Class字节码加载进虚拟机之前对底层的字节码进行修改。从而达到可以自定义特性的功能。给Aop的实现提供了一种更加简洁的方式。 ByteBuddy 字节码修改工具貌似从Java的诞生就一直存在,一开始的ASM,后来可以通过人可以理解的方式修改字节码的Javassist,到现在的
如何实现session共享的几种解决方案
热门推荐
王伟的博客
02-20 1万+
先了解一下为什么会出现这种session共享的解决方案? 随着互联网公司的项目在微服务和分布式的环境下进行的搭建,导致一个项目可能分别部署在几个甚至很多的服务器集群下,此就会出现一个问题 当用户进行一个session会话的候,比如一个用户去登录项目,一般的大公司的项目都是有Nginx进行反向代理的,但是这里简单列举一下Nginx常用的几种反向代理策略:1.轮询策略,2. 权重比例策略,3. ...
服务器之session共享
浩瀚星空
12-26 745
多Web服务器之共享Session的解决方案 很多开发中涉及到用户的Session验证很保留的问题,这个问题比较有意思,总结了几种方案,只供参考。 [ 问题提出 ] 为了满足足够大的应用,满足更多的客户,于是我们架设了N台Web服务器(N>=2),在多台Web服务器的情况下,我们会涉及到一个问题:用户登陆一台服务器以后,如果在跨越到另一台服务器的候能够继续使用客户的Sessio...
Redis实现多台服务sessionId共享问题
winer_h的博客
11-05 1万+
        因为公司的项目之前都是部署在单台服务器上,所以在代码的编写上都没有考虑过如何在多台服务器上同运行的情况!所以在客户考虑到高可用提出要部署多台服务器(其实也就两台啦,哈哈)的候,考验就来啦!首先需要解决的就是sessionId的共享问题!         项目部署在单台服务器运行的候,因为客户的所有请求都是由唯一服务器来处理,sessionId保存在这台服务器上(tomcat...
170222、使用Spring SessionRedis解决分布式Session跨域共享问题
weixin_30652897的博客
02-28 204
使用Spring SessionRedis解决分布式Session跨域共享问题 原创2017-02-27徐刘根Java后端技术 前言 对于分布式使用Nginx+Tomcat实现负载均衡,最常用的均衡算法有IP_Hash、轮训、根据权重、随机等。不管对于哪一种负载均衡算法,由于Nginx对不同的请求分发到某一个Tomcat,Tomcat在运行的候分别是不同的容器里,因此会出现se...
Spring Session官方文档:Redis/JDBC/REST session共享详解
SpringSession官方文档是一份详尽的指南,旨在帮助开发者理解和利用Spring框架提供的分布式会话管理解决方案。该文档适用于Spring Session 2.0版本,特别关注于结合Redis、JDBC和Hazelcast等中件来实现HTTP会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值