1.什么是session
会话:用户打开浏览器,点击多个超连接,访问多个服务器资源,然后关闭浏览器,整个过程称为一个会话
会话问题解决:服务器要为每个用户保存各自的数据(登录状态和一些其他信息) 。
会话技术cooKie和会话技术session的区别?
Cookie是客户端技术,用户输入用户名密码访问的时候,服务器会创建一个SessionID和会话结束时间并把这个通过cookie的方式发给浏览器,会把sessionID加入到cookie中再把会话结束时间设置为这个cookie的有效期,浏览器保存这个sessionID和会话结束时间,每次去服务器访问就携带这个sessionID,直到cookie有效期过了浏览器会删除这个cookie,会话结束(服务器也会删除这个cookie)。
总结:Session是诞生并保存在服务器这边的,由服务器主导。Cookie是一种数据载体把session放入cookie中送到客户端那边,cookie跟随http每个请求发出去。
2.分布式session的解决方案
为什么要有分布式session?
首先,session是为了保存用户信息的,如登录。在分布式中,服务器为了保证高可用、高性能会部署多台, 输入用户名和密码登录会发送到其中一台机器上,再次请求如果其他服务器接受到请求,它不知道你登录了,还需要你在输入用户名和密码,为了解决这个问题就要用到分布式session。
分布式session解决方案?
spring session+redis
在 pom.xml 中配置:
<dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>1.2.1.RELEASE</version> </dependency> <dependency> <groupId>redis.clients</groupId> <artifactId>jedis</artifactId> <version>2.8.1</version> </dependency>
在 spring 配置文件中配置:
<bean id="redisHttpSessionConfiguration" class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration"> <property name="maxInactiveIntervalInSeconds" value="600"/> </bean> <bean id="jedisPoolConfig" class="redis.clients.jedis.JedisPoolConfig"> <property name="maxTotal" value="100" /> <property name="maxIdle" value="10" /> </bean> <bean id="jedisConnectionFactory" class="org.springframework.data.redis.connection.jedis.JedisConnectionFactory" destroy-method="destroy"> <property name="hostName" value="${redis_hostname}"/> <property name="port" value="${redis_port}"/> <property name="password" value="${redis_pwd}" /> <property name="timeout" value="3000"/> <property name="usePool" value="true"/> <property name="poolConfig" ref="jedisPoolConfig"/> </bean>
在 web.xml 中配置:
<filter> <filter-name>springSessionRepositoryFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSessionRepositoryFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
示例代码:
@RestController @RequestMapping("/test") public class TestController { @RequestMapping("/putIntoSession") public String putIntoSession(HttpServletRequest request, String username) { //设置的session是redis中的 request.getSession().setAttribute("name", "leo"); return "ok"; } @RequestMapping("/getFromSession") public String getFromSession(HttpServletRequest request, Model model){ //获取的session是redis中的 String name = request.getSession().getAttribute("name"); return name; } }
给 sping session 配置基于 redis 来存储 session 数据,然后配置了一个 spring session 的过滤器,这样的话,session 相关操作都会交给 spring session 来管了。接着在代码中,就用原生的 session 操作,就是直接基于 spring sesion 从 redis 中获取数据了。
3.token
Token是诞生在服务器这边的保存在浏览器这边,由客户端主导,可以放在cookie中,持有token就像是持有令牌一样允许访问服务器,实现免密登录。
jwt
jwt是用来生成token的,jwt由三部分组成:header、payload、signature。header里面是用什么算法生成签名,payload里面是特定数据如有效期,signature里面是签名信息,由header和payload通过Base64编码,服务器保存的密码结合前两个Base64编码(编码不是加密)来进行算法运算最终得到签名信息,这里使用的算法就是header里的算法
用户通过用户名密码访问的时候(识别一致就会生成token变量,生成需要三个部分payload、服务器jwt密文、header,把token发送给客户端,通过token来登录),服务器会生成一个jwt(服务器不需要保存jwt,但需要保存这个jwt的签名的密文),服务器发送token给浏览器让浏览器以cookie的形式进去存储,用户请求时携带token就不需要输入用户名和密码了。