丢失或无效的会话id_让我们来构建它:实时会话无效

最新推荐文章于 2023-03-29 21:48:30 发布
最新推荐文章于 2023-03-29 21:48:30 发布
阅读量1.7k 收藏
点赞数
原文链接:https://hackernoon.com/lets-build-it-real-time-session-invalidation-wnaa3vmg
版权

丢失或无效的会话id

我们将如何建立一种上述体验?

演示回购

某些应用程序需要将用户限制为单个客户端或浏览器实例。 这篇文章介绍了如何构建,改进和扩展此功能。 我们从具有两个API端点的简单Web应用开始:

用户通过将用户HTTP请求标头中的用户ID发送到/ login路由来登录。 这是一个示例请求/响应: 

curl -H"user:user123" localhost:9000/login
{ "sessionId" : "364rl8" }

用户将sessionid=364rl8添加为路由/api的HTTP标头。 如果会话ID有效,则服务器返回“已认证”,否则,服务器返回错误: 

curl -H"sessionid=364rl8" localhost:9000/api
authenticated

curl -H "sessionid=badSession" localhost:9000/api
error: invalid session

注意:我们的示例在HTTP响应主体中返回会话ID,但是在实践中将会话ID存储为cookie更为常见,在该服务器中服务器返回Set-Cookie: sessionid=364rl8 HTTP标头。

这将导致浏览器自动将会话ID包含在对同一域的所有后续请求中。

1.最简单的解决方案

最简单的解决方案是使用服务器端会话缓存,该缓存为每个用户ID生成并存储会话ID。 

const { generateSessionId } = require ( "./utils" );
const cors = require ( "cors" );
const app = require ( "express" )().use(cors());
 
const PORT = 9000 ;
// this will totally scale, trust me
const sessions = {};
 
app.get( "/login" , (req, res) => {
  const { user } = req.headers;
 
  if (!user) {
    res.status( 400 ).send( "error: request must include the 'user' HTTP header" );
  } else {
    const sessionId = generateSessionId();
    sessions[user] = sessionId;
 
    res.send({ sessionId });
  }
});
 
app.get( "/api" , (req, res) => {
  const { sessionid } = req.headers;
 
  if (!sessionid) {
    res.status( 401 ).send( "error: no sessionId. Log in at /login" );
  } else {
    if ( Object .values(sessions).includes(sessionid)) {
      res.send( "authenticated" );
    } else {
      res.status( 401 ).send( "error: invalid session." );
    }
  }
});
 
app.listen(PORT, () => {
  console .log( `server started on http://localhost: ${PORT} ` );
});

每当用户成功登录时,会话ID都会被覆盖。 包含过期会话ID的请求将无法通过验证,从而导致服务器返回错误。 但是,如果客户端未发出API请求,则用户将不知道该会话无效。 理想情况下,我们需要一个客户端函数来告诉我们会话何时不再有效: 

async function logIn ( userId, onSessionInvalidated )

logIn函数采用一个回调函数(作为第二个参数),只要我们检测到该会话不再有效,就会调用该函数。 我们可以通过两种方式实现此API:轮询和服务器推送。

2.轮询

最简单的解决方案是使用服务器端会话缓存,该缓存为每个用户ID生成并存储会话ID。 

async function logIn ( userId, onSessionInvalidated )  {
  const response = await fetch( "http://localhost:9000/login" , {
    headers : {
      user : userId,
    },
  });
  const { sessionId } = await response.json();
 
  const POLLING_INTERVAL = 200 ;
  const poll = setInterval( async () => {
    const response = await fetch( "http://localhost:9000/api" , {
      headers : {
        sessionId,
      },
    });
 
    if (response.status !== 200 ) {
      // non-200 status code means the token is invalid
      clearTimeout(poll);
      onSessionInvalidated();
    }
  }, POLLING_INTERVAL);
 
  return sessionId;
}

但是,轮询迫使我们在延迟和效率之间进行权衡。 轮询间隔越短,我们可以更快地检测到不良会话,而浪费的轮询则更多。

3.服务器推送

如果我们在轮询解决方案中遇到瓶颈,那么我们的最终解决方案是维护一个持久的双向通道,服务器可以在该通道上告知连接的客户端会话无效。 对于此演示,我们将使用Web Sockets 。 要托管Web Socket服务器,我们使用ws包

const wss = new WebSocket.Server({ port : 9001 });

wss.on( "connection" , (ws) => {
  ws.on( "message" , (data) => {
    const request = JSON .parse(data);
    if (request.action === "subscribeToSessionInvalidation" ) {
      const { sessionId } = request.args;
      subscribeToSessionInvalidation(sessionId, () => {
        ws.send(
          JSON .stringify({
            event : "sessionInvalidated" ,
            args : {
              sessionId,
            },
          })
        );
      });
    }
  });
});

此代码告诉服务器在端口9001上侦听传入的Web套接字连接。对于每个新连接,侦听消息并采用以下格式: 

{action : "action ID" ,
  args : {...}
}

如果action值为"subscribeToSessionInvalidation" ,则每当指定的会话ID无效时,通知该客户端。

注意:此解决方案需要生成难以猜测的会话ID。

我们还需要更新我们的logIn路由处理程序以检测现有会话并发布无效事件: 

app.get("/login" , (req, res) => {
  const { user } = req.headers;

  if (!user) {
    res.status( 400 ).send( "error: request must include the 'user' HTTP header" );
  } else {
    const existingSession = sessions[user];
    if (existingSession) {
      publishSessionInvalidation(existingSession);
    }
    const sessionId = generateSessionId();
    sessions[user] = sessionId;

    res.send({ sessionId });
  }
});

subscribeToSessionInvalidationpublishSessionInvalidation

const { EventEmitter } = require ( "events" );
const sessionEvents = new EventEmitter();

const SESSION_INVALIDATED = "session_invalidated" ;

function publishSessionInvalidation ( sessionId )  {
  sessionEvents.emit(SESSION_INVALIDATED, sessionId);
}

function subscribeToSessionInvalidation ( sessionId, callback )  {
  const listener = ( invalidatedSessionId ) => {
    if (sessionId === invalidatedSessionId) {
      sessionEvents.removeListener(SESSION_INVALIDATED, listener);
      callback();
    }
  };

  sessionEvents.addListener(SESSION_INVALIDATED, listener);
}

module .exports = {
  publishSessionInvalidation,
  subscribeToSessionInvalidation,
};

现在,我们准备更新客户端以使用WebSocket DOM API替换我们的轮询逻辑: 

async function logIn ( userId, onSessionInvalidated )  {
  const response = await fetch( "http://localhost:9000/login" , {
    headers : {
      user : userId,
    },
  });
  const { sessionId } = await response.json();

  const socket = new WebSocket( "ws://localhost:9001" );
  socket.addEventListener( "open" , () => {
    console .log( "connected." );
    socket.addEventListener( "message" , ({ data }) => {
      const { event, args } = JSON .parse(data);
      if (event === "sessionInvalidated" ) {
        // args.sessionId should equal sessionId
        onSessionInvalidated();
      }
    });
    socket.send(
      JSON .stringify({
        action : "subscribeToSessionInvalidation" ,
        args : {
          sessionId,
        },
      })
    );
  });

  socket.addEventListener( "error" , (error) => {
    console .error(error);
  });

  return sessionId;
}

在浏览器中加载/push/index.html ,然后尝试一下。 现在,您应该看到一些实时会话无效操作。

4.缩放

我敢打赌,您注意到此解决方案无法扩展。 我们最好在风险投资获得资金之前尽快解决该问题! 要创建可伸缩的版本,我们需要进行以下更改:

  1. 将会话缓存移至可扩展的分布式缓存
  2. 从事件发射器转移到可扩展的分布式pubsub系统
  3. 更新客户端以在断开连接时添加重试逻辑

Redis满足要求#1和#2。 如果需要扩展Redis,我们可以部署Redis 集群 ,也可以使用Redis的托管版本,例如Amazon ElastiCache

Redis作为远程会话缓存

首先,让我们启动一个redis实例。 如果您在某处有码头工人: 

docker run -d -p6739 : 6739 redis

如果要在云VM上运行,请确保端口6739是打开的。 如果没有云虚拟机,则可以在EC2上启动t2.micro实例作为AWS免费套餐的一部分。 启动虚拟机后,您可以安装docker

很多 文章讨论了Redis的会话缓存。 这是我的方法,使用redis npm包

// remoteCache.js
const redis = require ( "redis" );

const SessionCacheKey = "sessions" ;

client = redis.createClient({
  host : process.env.REDIS_HOST
});

async function getSession ( userId )  {
  return new Promise ( ( resolve ) => {
    return client.hmget(SessionCacheKey, userId, (err, res) => {
      resolve(res ? ( Array .isArray(res) ? res[ 0 ] : res) : null );
    });
  });
}

async function putSession ( userId, sessionId )  {
  return new Promise ( ( resolve ) => {
    client.hmset(SessionCacheKey, userId, sessionId, (err, res) => {
      resolve(res ? ( Array .isArray(res) ? res[ 0 ] : res) : null );
    });
  });
}

我们使用Redis命令HMGETHMSET (HM代表“哈希映射”)分别读取和写入元组[user ID, session ID] 。 这样就可以处理会话存储,我们仍然需要用Redis替换事件发射器。 Redis NPM文档说明:

当客户端发出SUBSCRIBE或PSUBSCRIBE时,该连接将进入“订户”模式。 那时,唯一有效的命令是那些修改订阅集并退出的命令(也可以在某些redis版本上ping通)。 当订阅集为空时,连接将恢复为常规模式。

因此,我们需要创建两个Redis客户端,一个用于常规命令,另一个用于专用订户命令: 

// remoteCache.js

const SessionInvalidationChannel = "sessionInvalidation" ;
const pendingCallbacks = {};

async function connect ()  {
  client = redis.createClient({
    host : process.env.REDIS_HOST
  });
  // the redis client we're using works in two modes "normal" and
  // "subscriber". So we duplicate a client here and use that
  // for our subscriptions.
  subscriber = client.duplicate();

  return Promise .all([
    new Promise ( ( resolve ) => {
      client.on( "ready" , () => resolve());
    }),
    new Promise ( ( resolve ) => {
      subscriber.on( "ready" , () => {
        subscriber.on( "message" , (channel, invalidatedSession) => {
          console .log(channel, invalidatedSession);
          if ( Object .keys(pendingCallbacks).includes(invalidatedSession)) {
            pendingCallbacks[invalidatedSession]();
            delete pendingCallbacks[invalidatedSession];
          }
        });

        subscriber.subscribe(SessionInvalidationChannel, () => {
          resolve();
        });
      });
    }),
  ]);
}

function publishSessionInvalidation ( sessionId )  {
  client.publish(SessionInvalidationChannel, sessionId);
}

function subscribeToSessionInvalidation ( sessionId, callback )  {
  pendingCallbacks[sessionId] = callback;
}

connect函数中,我们订阅了"sessionInvalidation"通道。 当另一个模块调用publishSessionInvalidation时,我们将发布到此频道。

您可以像这样运行演示: 

git clone https://github.com/robzhu/logged-out 
cd logged-out/push-redis/server
npm i && node server.js

接下来,在两个浏览器选项卡中打开/push-redis/index.html ,您应该能够看到正在运行的演示。

5.本机客户端

让我们花点时间考虑需要实时会话失效的示例应用程序。 我想到的一些东西是:游戏,流媒体客户端,高级金融应用程序(例如Bloomberg Terminal)。

由于这类应用程序通常是作为本机客户端构建的,因此让我们看看.net客户端的外观: 

using System;
using System.Net.Http;
using System.Threading.Tasks;
using Newtonsoft.Json;
using Websocket.Client;static class Program
 {
  const string LoginEndpoint = "http://localhost:9000/login" ;
  const string UserID = "1234" ;
  static Uri WebSocketEndpoint = new Uri( "ws://localhost:9001" );

  static async Task Main(string[] args)
  {
    HttpClient client = new HttpClient();

    client.DefaultRequestHeaders.Add( "user" , UserID);
    dynamic response = JsonConvert.DeserializeObject( await client.GetStringAsync(LoginEndpoint));
    string sessionId = response.sessionId;
    Console.WriteLine( "Obtained session ID: " + sessionId);

    using ( var socket = new WebsocketClient(WebSocketEndpoint))
    {
      await socket.Start();

      socket.MessageReceived.Subscribe( msg =>
      {
        dynamic payload = JsonConvert.DeserializeObject(msg.Text);
        if (payload[ "event" ] == "sessionInvalidated" )
        {
          Console.WriteLine( "You have logged in elsewhere. Exiting." );
          Environment.Exit( 0 );
        }
      });

      socket.Send(JsonConvert.SerializeObject( new
      {
        action = "subscribeToSessionInvalidation" ,
        args = new
        {
          sessionId = sessionId
        }
      }));

      Console.WriteLine( "Press ENTER to exit." );
      Console.ReadLine();
    }
  }
}

您可以并行运行.net客户端和Web客户端,并观察它们彼此失效。

在该演示的许多粗糙之处中,API缺乏类型安全性对我来说很突出。 具体来说,订阅请求和响应的主题名称和架构。 将解决方案扩展到一个开发人员之外,将需要全面的文档或客户端-服务器类型的系统,例如GraphQL模式。

在构建此演示的过程中,人们提出了其他几种解决方案:

  1. SWR感谢@pacocoursey
  2. Pubsub即服务: pusherpubnub
  3. 具有API网关的Web套接字
  4. GraphQL订阅

您想看一下这些解决方案的演示吗?

我希望本文能为您提供一些构建实时会话无效的想法。 我敢肯定,我还没有考虑过很好的解决方案,请在评论中将其保留在下面。

先前发布在 https://updateloop.dev/lets-build-you-have-been-logged-out/

翻译自: https://hackernoon.com/lets-build-it-real-time-session-invalidation-wnaa3vmg

丢失或无效的会话id

dfsgwe1231
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
plug_rails_cookie_session_store:与Rails兼容的插件会话存储
02-06
标题中的"plug_rails_cookie_session_store"是一个针对Rails框架的会话存储插件,它旨在在Elixir的Phoenix框架中实现与Rails相兼容的会话管理。这个插件的目的是让那些从Rails迁移到Elixir Phoenix的应用程序能够...
华为游戏登录,解析凭证Access Token接口报{“error”:“invalid session”}
华为开发者联盟
02-22 3482
问题描述 集成华为游戏sdk后,进行游戏登录操作,其中帐号登录完调用getGamePlayer接口后要对获取到的Access Token进行验证,此时调用解析凭证Access Token接口报{“error”:”invalid session”}。 解析凭证Access Token参考接口文档。 问题分析 我们不知道什么原因,直接找到了华为技术支持(可提工单咨询cke_119.png),按照他们的提示依次检查。 1.查看接口url是否填错,正确的url: https://oauth-api.cloud.hu
ORA 00026 丢失无效会话 ID
qq_37695342的博客
09-27 2320
该问题的原因可能是你的数据库服务布在了多台机器上;而你当前的kill进程刚好不在那一台服务器上;所以你查不到这个进程ID;重新开一个窗口,可能就能执行成功了;
OPC UA常见故障信息代码
码灵的博客
03-08 8995
Bad_DataUnavailable 0x809E0000 由于存在未安装的卷、离线存档或磁带,或由于暂时不可用等类似原因,期望的数据在请求的时间范围内不可用。变量值为最后一个质量为Good的值。Bad_NodeIdRejected 0x805D0000 由于节点ID无效或服务器不允许客户端指定节点ID,请求的节点ID被拒绝。Bad_CertificateHostNameInvalid 0x80160000 用于连接服务器的主机名与证书中的主机名不匹配。
Oracle 错误总结及问题解决 ORA
热门推荐
基于Oracle11G
07-08 18万+
ORA 错误大全
Session会话过期后页面自动跳转到登录界面
Zartillery的博客
07-15 1790
本需求使用Shiro权限管理框架加WebSocket协议实现 首先导入WebSocket jar包(已导入Shiro相关jar包,完成Shiro的相关配置,这里不过多讲,主要使用WebSocket协议实现,需要的朋友自行搜索) <!--WebSocket的支持--> <dependency> <groupId>org.springframework.boot</groupId> <ar
sinatra_session_global_funs:Sinatra,会话和全局变量的“有趣”
05-08
在深入这个话题之前,我们先来理解一下Sinatra的基本概念和会话以及全局变量的作用。 Sinatra允许开发者用一种声明式的方式创建HTTP路由,通过定义URL模式映射到处理方法。例如: ```ruby get '/' do "Hello, ...
logged-out:建立实时会话无效的三种方法
05-13
实时会话无效 随播克隆和npm安装git clone https://github.com/robzhu/logged-outcd logged-outnpm install投票演示npm run polling# open polling/index.html in two browser tabs使用Web套接字推送演示npm run ...
php中session_id()函数详细介绍,会话id生成过程及session id长度
10-23
主要介绍了php中session_id()函数详细介绍,会话id生成过程及session id长度的相关资料,需要的朋友可以参考下
KGC.rar_KGC_会话密钥_基于身份_密钥_密钥管理
09-22
通过对"KGC.rar"的深入分析,我们可以看到,基于身份的密钥管理和会话密钥生成是一个高效且灵活的解决方案,它减少了传统公钥基础设施的复杂性,提升了安全通信的便捷性。然而,这也对KGC的安全性提出了更高的要求,...
Oracle错误代码大全
01-24
oracle数据库中常见的错误代码以及其所对应的错误码所表示的含义,通过本文档,可以迅速定位引发错误的原因,快速纠正错误
启动报错-Finished invalidation session. No sessions were stopped.
一立方星空
12-07 1万+
启动报错-Finished invalidation session. No sessions were stopped. 报错描述: 项目部署到服务器后,开始启动了,但最终没有启动成功。项目使用了Shiro验证,在启动项目后,会自动去找缓存信息,根据Session登陆验证。 这里报错说没有Sessions,但这个信息前面就是初始化Sessions的日志,通过查看网上文章,以及自己测试后的解决方式如下: ①可能与Shiro Session有关,但具有代码又没有错的地方,这里需要自己先检查代码 ②与jdk版本
OPCUA系列之一 开篇
u012838045的博客
05-26 4410
人嘛,总是有惰性的,本来想不断的把东西总结下来,给大家做个参考。但写几次就不想动笔了。呵呵,只希望一次比一次坚持久点就好了。 opcua主题早就想写了,只是想想繁杂的过程就懒得动笔。借着这个机会,我们把opcua写一写。 今天做个算是开篇吧,接下来的一段时间,我会把opcua的使用详细介绍给大家。请大家关注我后面的opcua系列文章。 下面转一下opcua的故障码(大家在调试程序的时候,会经常的需要查询这个表): 返回码 十六进制 描述 Good 0x00000.
汇总Oracle报错信息及解决办法
lz_N_one的博客
12-09 4000
1、 错误提示ORA-00933: SQL command not properly ended in?解决方案:2、 ORA-01830:日期格式图片在转换整个输入字符串之前结束解决方案:3、ORA-01652:无法通过 128 (在表空间 TEMP 中) 扩展 temp 段之前运行没有出错,出差错后,把整段代码删除后重贴,错误就解决了,很奇怪。解决方案:4、ORA-00955: 名称已由现有对象使用:解决方案:5、ORA-01861: 文字与格式字符串不匹配:解决方案:6、ORA-00904:标示符无效
invalid session id
Beyond_F4的博客
06-19 1万+
selenium调用webdriver显示浏览器,打开多重页面,从上一级页面中获取到下一级的地址 当请求打开下一级页面,提示 invalid session id 无效session id, 原因: 当上一级的数据取完之后,如果保存的是element对象,则当前窗口是不能关闭的,一旦关闭,则无法进一步解析, 如果已将对象中的文本提取保存则可正常关闭使用 另外,如果希望程序多次调用打...
oracle丢失无效会话id,有事物查不到会话id
weixin_28863779的博客
04-04 1218
SQL> select segment_name,tablespace_name,status from dba_rollback_segs where status<>'OFFLINE' AND TABLESPACE_NAME='UNDOTBS1';SEGMENT_NAME TABLESPACE_NAME STA...
Oracle学习之错误代码
weixin_43271755的博客
03-29 1240
本篇文章是对Oracle错误代码进行了详细的总结与分析
已解决selenium.common.exceptions.WebDriverException: Message: invalid session id
努力让自己发光,对的人才能迎着光而来
03-29 8616
已解决selenium循环翻页抛出selenium.common.exceptions.WebDriverException: Message: invalid session id的正确解决方法,亲测有效!!!
ora-00026:丢失无效会话id
最新发布
04-30
ORA-00026错误是Oracle数据库中常见的错误之一。这个错误代表会话ID丢失无效会话ID是Oracle用来标识一个会话的唯一标识符,如果出现丢失无效的情况,数据库将无法识别它所代表的会话,从而导致错误。 通常,ORA-00026错误是由以下几种情况引起的: 1.会话已经结束,但是它所代表的会话ID仍然被使用。 2.由于某些异常情况(如服务器崩溃),会话ID可能会丢失或变得无效。 3.在运行多个实例的情况下,可能会发生会话ID冲突的情况。 解决ORA-00026错误的方法包括: 1.确定所涉及的会话是否已经结束,并确认是否需要重新启动建立新的会话。 2.检查是否存在异常情况,如服务器崩溃,然后重新启动服务器。 3.在使用多个实例时,确保会话ID不会产生冲突。 总之,ORA-00026错误是Oracle数据库中常见的错误之一,一般可以通过上述方法来解决。但是,在解决问题之前,需要确定错误的具体原因,以便采取正确的措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值