spring session date redis趟坑经验

已于 2023-06-07 21:24:42 修改
阅读量194 收藏 2
点赞数
分类专栏: spring 文章标签: spring java
于 2021-07-17 17:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuxiaohua/article/details/118858583
版权

概述

目前大多数应用都是多实例或者多服务,这样带来了session共享的问题。
session共享问题解决途径有很多:

  1. 前端负载均衡根据一定的策略,将来自相同客户端的请求,固定路由到某个节点。
    该方法比较简洁,不过会降低负载均衡的效果。
  2. session放在公共存储中,比如spring-session
  3. 使用jwt

spring session的原理

在这里插入图片描述
spring session是靠SessionRepositoryFilter拦截请求,将HttpServletRequest包装成SessionRepositoryRequestWrapper;
可以看一下SessionRepositoryRequestWrapper的源码,它仅仅只是覆写操作session相关的函数,其他的全部委托给HttpServletRequest,这样能够透明的对session进行增强。

spring session中的SessionRepositoryFilter是Filter类型,是如何注入到servlet容器的

spring设计了RegistrationBean机制,能够在内嵌的servlet容器启动后,注册servlet,Filter,listener,该机制可以参考我之前的文章《ServletContainerInitializer、WebApplicationInitializer、ServletContextInitializer》
故猜想应该在spring boot的自动配置中,使用FilterRegistrationBean包装了SessionRepositoryFilter。因此到spring-boot-autoconfigure.jar中去寻找踪迹。可以看到是在SessionRepositoryFilterConfiguration 中进行配置的,另外为了对应用透明,SessionRepositoryFilter默认优先级应该是最高的,因为框架无法预知业务层会写什么样的Filter,而且Filter中是否会操作session。

class SessionRepositoryFilterConfiguration {
    # 此处FilterRegistrationBean没有配置UrlPatterns,默认是"/*",即拦截所有请求
    @Bean
    FilterRegistrationBean<SessionRepositoryFilter<?>> sessionRepositoryFilterRegistration(SessionProperties sessionProperties, SessionRepositoryFilter<?> filter) {
        FilterRegistrationBean<SessionRepositoryFilter<?>> registration = new FilterRegistrationBean(filter, new ServletRegistrationBean[0]);
        registration.setDispatcherTypes(this.getDispatcherTypes(sessionProperties));
        registration.setOrder(sessionProperties.getServlet().getFilterOrder());
        return registration;
    }

从默认配置来看SessionRepositoryFilter Session的优先级并不是最高,应该是框架留了一点余地,防止将来可能需要配置更高优先级的Filter

public static class Servlet {
	private int filterOrder = SessionRepositoryFilter.DEFAULT_ORDER;
}

public class SessionRepositoryFilter<S extends Session> extends OncePerRequestFilter {
    public static final int DEFAULT_ORDER = Integer.MIN_VALUE + 50;
}

闭坑指导

需要覆盖SessionRepositoryFilterConfiguration对SessionRepositoryFilter的默认配置

从源码可以看到SessionRepositoryFilterConfiguration配置SessionRepositoryFilter时,默认拦截所有请求。

  1. 一般系统中会存在一些机机接口,并不需要创建session,因此最好覆盖掉默认配置,只对人机接口进行拦截,能够节省一点消耗算一点

redis存储session时,key是有命名空间的,要保证所有服务的命名空间一致

见org.springframework.boot.autoconfigure.session.RedisSessionConfiguration源码

	@Configuration(proxyBeanMethods = false)
	public static class SpringBootRedisHttpSessionConfiguration extends RedisHttpSessionConfiguration {

		@Autowired
		public void customize(SessionProperties sessionProperties, RedisSessionProperties redisSessionProperties,
				ServerProperties serverProperties) {
			Duration timeout = sessionProperties
					.determineTimeout(() -> serverProperties.getServlet().getSession().getTimeout());
			if (timeout != null) {
				setMaxInactiveIntervalInSeconds((int) timeout.getSeconds());
			}
			# 配置session在redis中存储时key的前缀,具体用法参考RedisIndexedSessionRepository
			setRedisNamespace(redisSessionProperties.getNamespace());
			setFlushMode(redisSessionProperties.getFlushMode());
			setSaveMode(redisSessionProperties.getSaveMode());
			setCleanupCron(redisSessionProperties.getCleanupCron());
		}
	}

RedisIndexedSessionRepository去redis查询session的时候,是拿着前端的sessionid,拼接上命名空间作为key值的。如果各个服务命名空间不一致,会导致session不互认,随着请求不断地交叉请求不同服务,session会反复创建,不断侵占redis的存储空间。我们有一次就是系统升级框架,但只升级了部分服务进行试点,结果高低版本框架对命名空间的配置不一致,导致上线后,redis内存不断的增长,最后达到100%。
我们登录认证的流程如下:

  1. 判断session是否存在,如果存在则说明是登录用户,结束登录认证
  2. 使用单点登录的cookie找sso服务端进行认证,如果认证通过,则创建应用自己的session,这样每次请求不用都去找sso服务端认证,减小sso服务端的压力。
  3. 如果第2步认证不过,则说明用户未登录,则返回401,页面跳转到公司统一的登录界面。

从上面逻辑可以看出虽然服务间的session因为命名空间不同不共享,但有sso的认证作为兜底逻辑。虽然对业务没什么造成影响,但是在定位出根因之前,还是心理很慌的。
在这里插入图片描述

记一次线上问题定位

现象

现网redis CPU占用超过60%,而且晚上业务低峰期,cpu利用率也几乎不怎么降低

分析

1.业务低峰期使用人数非常少,可以忽略不计,因此让运维在业务低峰期时dump redis命令,看一下命令的分布,在做进一步分析。

可以看到大部分(99%)命令都是下面几条
“SREM” “spring:session:expirations:xxxx” “\xac\xed\x00\x05t\x00,expires:xxxx”
“SADD” “spring:session:expirations:xxxx” “\xac\xed\x00\x05t\x00,expires:xxxx”
“PEXPIRE” “spring:session:expirations:xxxx” “xxxx”
“APPEND” “spring:session:sessions:expires:xxxx” “”
“PEXPIRE” “spring:session:sessions:expires:xxxx” “xxxx”
“HMSET” “spring:session:sessions:xxxx” “lastAccessedTime” “\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01\x88Z&O”" “maxInactiveInterval” “\xac\xed\x00\x05sr\x00\x11java.lang.Integer\x12\xe2\xa0\xa4\xf7\x81\x878\x02\x00\x01I\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\a\b” “creationTime” “\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01\x88Z&O”"

从命令来看,是spring session的操作,可见redis的操作还是由接口访问导致的,而不是后台异步任务。但是半夜又几乎没有人员使用,为此决定看一下访问日志,看半夜到时候是什么接口在被调用。

2.分析半夜接口调用日志

从系统监控来看,半夜大量调用集中在一个接口上了(99%),而且从频率来看,应该是某个系统定时调用的,因为频率非常稳定。而且上述信息也可以做一下推论:

  • 半夜redis的cpu利用率主要是由该接口产生的,因为半夜用户非常少,从调用日志来看,99%的调用记录都是该接口,而且redis的操作也基本是spring session相关的。
  • 该接口半天晚上调用频率一样,所以半天的cpu利用率也大部分是该接口产生的,因为白天晚上cpu 利用率差异不大。

验证:阻断该接口的调用,观察redis的cpu利用率是否下降。

结果,接口阻断后,大概半个小时redis的cpu下降到很低的水平。

疑点

该接口为什么会产生大量session相关的操作?

该接口为人机接口,会在登录认证的filter中判断session是否存在(调用request的getSession方法),以及并校验session中存储的值。
由于接口由另外一个系统服务端调用,所以每次getSession都无法获取到,导致每一次请求都会创建session。

	private final class SessionRepositoryRequestWrapper extends HttpServletRequestWrapper {
        # getSession()调用的是getSession(true)
		@Override
		public HttpSessionWrapper getSession(boolean create) {
            # 有省略,因为接口是另外一个系统的服务端调过来的,没有进行登录,自然也就不存在session,因此每次都会走到这里创建session
            # 虽然这里会创建session,但是session存的东西是空的,所以登录认证还是过不了
			S session = SessionRepositoryFilter.this.sessionRepository.createSession();
			session.setLastAccessedTime(Instant.now());
			currentSession = new HttpSessionWrapper(session, getServletContext());
			setCurrentSession(currentSession);
			return currentSession;
		}

org.springframework.session.data.redis.RedisIndexedSessionRepository#createSession看看创建session需要对redis做哪些操作

	@Override
	public RedisSession createSession() {
		MapSession cached = new MapSession();
		if (this.defaultMaxInactiveInterval != null) {
			cached.setMaxInactiveInterval(Duration.ofSeconds(this.defaultMaxInactiveInterval));
		}
		RedisSession session = new RedisSession(cached, true);
		# redis的操作在这里
		session.flushImmediateIfNecessary();
		return session;
	}
    # redis的操作就在这里了,代码中删减了一些实际不会走的分支
	private void saveDelta() {
			String sessionId = getId();
			# "HMSET" "spring:session:sessions:sessionid" xxx
			getSessionBoundHashOperations(sessionId).putAll(this.delta);

			this.delta = new HashMap<>(this.delta.size());

			Long originalExpiration = (this.originalLastAccessTime != null)
					? this.originalLastAccessTime.plus(getMaxInactiveInterval()).toEpochMilli() : null;
			# 这部分在下面详述
			RedisIndexedSessionRepository.this.expirationPolicy.onExpirationUpdated(originalExpiration, this);
		}

org.springframework.session.data.redis.RedisSessionExpirationPolicy#onExpirationUpdated

	void onExpirationUpdated(Long originalExpirationTimeInMilli, Session session) {
	    # 删减不会走的分支代码
		String keyToExpire = SESSION_EXPIRES_PREFIX + session.getId();
		long toExpire = roundUpToNextMinute(expiresInMillis(session));

		if (originalExpirationTimeInMilli != null) {
			long originalRoundedUp = roundUpToNextMinute(originalExpirationTimeInMilli);
			if (toExpire != originalRoundedUp) {
				String expireKey = getExpirationKey(originalRoundedUp);
				this.redis.boundSetOps(expireKey).remove(keyToExpire);
			}
		}

		long sessionExpireInSeconds = session.getMaxInactiveInterval().getSeconds();
		String sessionKey = getSessionKey(keyToExpire);

		if (sessionExpireInSeconds < 0) {
			this.redis.boundValueOps(sessionKey).append("");
			this.redis.boundValueOps(sessionKey).persist();
			this.redis.boundHashOps(getSessionKey(session.getId())).persist();
			return;
		}

		String expireKey = getExpirationKey(toExpire);
		BoundSetOperations<Object, Object> expireOperations = this.redis.boundSetOps(expireKey);
		# "SADD" "spring:session:expirations:${expiretime}" "\xac\xed\x00\x05t\x00,expires:sessionid"
		expireOperations.add(keyToExpire);

		long fiveMinutesAfterExpires = sessionExpireInSeconds + TimeUnit.MINUTES.toSeconds(5);

        # "PEXPIRE" "spring:session:expirations:${expiretime}" "2100000"
		expireOperations.expire(fiveMinutesAfterExpires, TimeUnit.SECONDS);
		if (sessionExpireInSeconds == 0) {
			this.redis.delete(sessionKey);
		}
		else {
		    # "APPEND" "spring:session:sessions:expires:sessionid" ""
			this.redis.boundValueOps(sessionKey).append("");
			"PEXPIRE" "spring:session:sessions:expires:sessionid" "1800000"
			this.redis.boundValueOps(sessionKey).expire(sessionExpireInSeconds, TimeUnit.SECONDS);
		}
		"PEXPIRE" "spring:session:sessions:sessionid" "2100000"
		this.redis.boundHashOps(getSessionKey(session.getId())).expire(fiveMinutesAfterExpires, TimeUnit.SECONDS);
	}

可见创建一次session要执行不少session

接口被阻断后,为啥半个小时候cpu才下降到很低的水平?

从上面可以看到接口每次调用都会创建一个session,该session后续不会被访问,半个小时候相关的key就会过期。
从spring boot的自动配置中可以看到RedisIndexedSessionRepository对键过期做了处理(RedisIndexedSessionRepository是redis的MessageListener)。
半个小时候,相关的key全部过期后,redis相关的通知操作才会基本消失。因此redis的cpu 利用率在
半个小时后在下降到最低点,并趋于平稳。

	public RedisIndexedSessionRepository(RedisOperations<Object, Object> sessionRedisOperations) {
		Assert.notNull(sessionRedisOperations, "sessionRedisOperations cannot be null");
		this.sessionRedisOperations = sessionRedisOperations;
		this.expirationPolicy = new RedisSessionExpirationPolicy(sessionRedisOperations, this::getExpirationsKey,
				this::getSessionKey);
		# 配置了相关的监听的channel
		configureSessionChannels();
	}
	private void configureSessionChannels() {
		this.sessionCreatedChannelPrefix = this.namespace + "event:" + this.database + ":created:";
		this.sessionCreatedChannelPrefixBytes = this.sessionCreatedChannelPrefix.getBytes();
		this.sessionDeletedChannel = "__keyevent@" + this.database + "__:del";
		this.sessionDeletedChannelBytes = this.sessionDeletedChannel.getBytes();
		this.sessionExpiredChannel = "__keyevent@" + this.database + "__:expired";
		this.sessionExpiredChannelBytes = this.sessionExpiredChannel.getBytes();
		this.expiredKeyPrefix = this.namespace + "sessions:expires:";
		this.expiredKeyPrefixBytes = this.expiredKeyPrefix.getBytes();
	}

RedisHttpSessionConfiguration中创建了RedisMessageListenerContainer

	@Bean
	public RedisMessageListenerContainer springSessionRedisMessageListenerContainer(
			RedisIndexedSessionRepository sessionRepository) {
		RedisMessageListenerContainer container = new RedisMessageListenerContainer();
		container.setConnectionFactory(this.redisConnectionFactory);
		if (this.redisTaskExecutor != null) {
			container.setTaskExecutor(this.redisTaskExecutor);
		}
		if (this.redisSubscriptionExecutor != null) {
			container.setSubscriptionExecutor(this.redisSubscriptionExecutor);
		}
		container.addMessageListener(sessionRepository,
				Arrays.asList(new ChannelTopic(sessionRepository.getSessionDeletedChannel()),
						new ChannelTopic(sessionRepository.getSessionExpiredChannel())));
		container.addMessageListener(sessionRepository,
				Collections.singletonList(new PatternTopic(sessionRepository.getSessionCreatedChannelPrefix() + "*")));
		return container;
	}
shuxiaohua
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-session(一)揭秘
weixin_33795093的博客
09-18 200
前言 在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。主要从以下三个方面进行热脑: 为什么要spring-session 比较traditional-session方案和spring-session方案 JSR340规范与spring-session的透明继承 一.为什么要spring-session 在传统单机web应用中,一般使用tomcat/jetty等web...
spring-session 中的
路虽远行则将至,事虽难做则必成
07-06 1511
spring-session 配置 依赖 [code="java"] gradle compile "redis.clients:jedis:2.9.0" //spring-session compile('org.springframework.data:spring-data-redis:1.8.3.RELEASE') compile('org.springframewo...
spring-session-data-redis
qq_45134546的博客
08-27 1895
spring-session-data-redis引入依赖添加配置使用 引入依赖 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <gro
升级springboot 2.x 踩过的——跨域导致session问题
m0_37948078的博客
05-07 394
目前IT界主流前后端分离,但是在分离过程中一定会存在跨域的问题。 什么是跨域?   是指浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域。   做过web后台的童鞋都知道,跨域这种问题是比较常见的,最近我们公司需要将springboot 1.x升级到2.x,在升级之后遇到了挺多的问题,例如某些类过时了或者某些类找不到等,还有就是今天要说得session不一致...
利用spring-session+redis 实现 简单 SSO
cibiao3855的博客
05-10 248
在上一篇搭建基础框架基础上,实现一下简单的单点登录。 简单思路:用户访问客户端时发现用户未登录,跳转到服务器的统一登录中心,在统一登录中心登录后,从服务器自动跳回客户端的访问地址,此时客户端发现用户已经登录,即可访问。 准备:redis 数据库, 上一篇中利用简单基础框架搭...
Spring Session Redis实现简单的SSO
fxtxz2的专栏
01-16 404
Spring Session的SSO简单实现
SpringSession+Redis实现集群会话共享的方法
09-09
为了保证WEB应用的承载能力, 需要对WEB应用进行集群处理.这篇文章主要介绍了SpringSession+Redis实现集群会话共享的方法,需要的朋友参考下吧
Spring Session + redis实现session共享
03-12
Spring Session + redis实现session共享
SpringCloud实现Redis在各个微服务的Session共享问题
08-27
Redis是运行在内存中,查取速度很快。本文重点给大家介绍SpringCloud实现Redis在各个微服务的Session共享,感兴趣的朋友一起看看吧
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager
spring-session-data-redis-2.0.4.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar; 赠送源代码:spring-session-data-redis-2.0.4.RELEASE-sources.jar; 赠送...
Spring-session+Redis 实现SSO其源码简析和注意事项
点滴之积
01-26 4661
本篇博客的讲述流程: 列出配置实现 对配置上的关键点做解释说明 讲述配置实现的注意事项 先看Redis连接池配置: import org.springframework.cache.CacheManager; import org.springframework.cache.annotation.CachingConfigurerSupport; import org.springf
单点登录实现(spring session+redis完成session共享)
算命de博客
03-22 1114
一、前言 项目中用到的SSO,使用开源框架cas做的。简单的了解了一下cas,并学习了一下 单点登录的原理,有兴趣的同学也可以学习一下,写个demo玩一玩。 二、工程结构 我模拟了 sso的客户端和sso的服务端, sso-core中主要是一些sso需要的过滤器和工具类,缓存和session共享的一些XML配置文件,还有springmvc需要的一下jar包的管理。sso-cache...
spring-session-data-redis核心原理
Alexon Xu的博客
12-31 7535
1、session原理 session是用来在服务器端保存用户登录信息的KV结构数据,用户在浏览器登录之后,服务器端生成sessionId,返回给浏览器端,浏览器下一次请求在Header的Cookie中带上sessionId,服务器根据sessionId就可以获取用户的信息,从而进行登录鉴权等操作。如果sessionId不存在,服务器端会返回一个新的sessionId。 2、分布式session 在多个微服务部署的场景中,用户登录之后,从服务A生成session, 拿到sessionId,去请求服务B,服务
记录redis集群连接超时问题及解决方案
查拉图斯特拉面条的博客
09-15 1083
下午同事反馈,某业务场景性能测试过程中,出现异常,提供日志报:Redis command timed out 1. 先看下日志 org.springframework.dao.QueryTimeoutException: Redis command timed out; nested exception is io.lettuce.core.RedisCommandTimeoutExcep...
SpringRedisSession详解
weixin_42132854的博客
06-24 5482
Spring redisSession
项目引用Redis-session导致微服务调用报错
qq_34926773的博客
05-23 974
关键信息: org.springframework.dao.InvalidDataAccessApiUsageException: ERR 'RENAME' command keys must in same slot; nested exception is redis.clients.jedis.exceptions.JedisDataException: ERR 'RENAME' co mmand keys must in same slot Caused by: redis.clients.je
缓存穿透、缓存击穿、缓存雪崩
vengu733的博客
10-21 2325
一个存在value的key,在缓存创建(或过期)的一刻,同时有大量的请求,这些请求都会击穿到DB,造成瞬时DB请求量大,压力骤增。缓存击穿只会发生在高并发的时候,就是当有10000 个并发进行查询数据的时候,我们一般都会先去redis里面查询进行数据,但是如果redis里面没有这个数据的时候,那么这10000个并发里面就会有很大一部分并发会一下子都去mysql数据库里面进行查询了。这样给数据库带来巨大的压力。例如以下示例:(1) 业务类代码。
RedisIndexedSessionRepository
sunshinebo的博客
03-26 2386
/* * Copyright 2014-2020 the original author or authors. * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You may obtain a copy of the License at * * https:
spring session data redisspring session 版本对照
最新发布
04-01
以下是Spring Session Data RedisSpring Session版本的对照: | Spring Session Data Redis 版本 | Spring Session 版本 | | ----------------------------- | ------------------- | | 2.4.x | 5.3.x | | 2.3.x ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值