分布式会话和基于TOKEN的分布式会话

最新推荐文章于 2024-05-25 11:27:33 发布
最新推荐文章于 2024-05-25 11:27:33 发布
阅读量757 收藏
点赞数
分类专栏: 后端开发(偏java向)经验交流 文章标签: 分布式 redis 中间件 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy294636185/article/details/118734876
版权
本文探讨了在Java应用中如何实现单机会话管理和基于Redis的分布式会话管理。介绍了基于cookie的sessionId管理和基于token的会话实现,并详细阐述了将这些机制迁移到Redis的过程。此外,还讨论了会话的有效期管理、安全性问题,包括强登录态和弱登录态的处理,以及SSO单点登录的实现。最后,提到了跨域会话共享和安全性策略,如httpOnly标志和自定义协议的应用。
摘要由CSDN通过智能技术生成

单机会话管理

1.基于cookie传输的sessionId:在java tomcat容器session实现

http请求会有一个Session会话管理机制,用来标识用户会话的过程,默认使用的是springboot内嵌的httpSession的实现机制,这个tomcat协议实现是基于cookie传输sessionId的方式来完成容器的实现

比如我们使用HttpServletRequest.getSession().getAttribute(telephone,otpCode);去存储用户获取验证码时手机和验证码对应信息,以使得用户在注册的方法可以从界面上拿到的otpCode和Session中otpCode的比较。

还有在用户登录的模块中,我们将登录凭证加入到session中:this.httpServletRequest.getSession().setAtteibute("IS_LOGIN",true);
this.httpServletRequest.getSession().setAtteibute("LOGIN_USER",userModel);

然后我们在用需要用到用户登录状态的业务方法中,会先判断当前用户对应的session中是否是login的,并且将LOGIN_USER获取到用户信息,完成对应用户的操作:

这个JSESSIONID就是 tomcat返回的内置cookie的标识,在tomcat内就是用来获取用户的session。因此客户端在每次发送到对应域名下的请求都会在RequestHeaderCookie里面带上JSESSIONID。

2.基于token传输类似sessionId:java代码session实现

基于token传输用java代码实现是因为移动端APP客户可能会禁止掉cookie。

分布式会话管理

对于以上两种方案在分布式环境内都不可以生效,因为单体的会话管理都是基于tomcat的内存去实现的。每台服务器都是互相分开的,一旦nginx映射到另一台机器上,session信息就不会存在了。所以就需要分布式会话管理机制。

redis是一个集中式的缓存中间件,可以把它认为是Nosql的KV数据库。在分布式会话场景上面,我们无需开启持久化磁盘的功能,只需要它内存数据库存放缓存功能即可。

1.基于cookie传输sessionid:java tomcat容器session实现迁移到redis

导入pom坐标:

第二个包的作用就是redis管理session对象。

<!--    springboot对Redis的依赖-->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>
<!--    spring对session的管理存在redis里面-->
    <dependency>
      <groupId>org.springframework.session</groupId>
      <artifactId>spring-session-data-redis</artifactId>
      <version>2.0.5.RELEASE</version>
    </dependency>

 配置application文件:

#配置springboot对redis的依赖
spring.redis.host=线上redis服务器ip地址
spring.redis.port=6379
spring.redis.database=10
#spring.redis.password=

#设置jedis连接池
#最大连接数量
spring.redis.jedis.pool.max-active=50
#最小idle连接
spring.redis.jedis.pool.min-idle=20

 注意:

1.redis默认序列化方式是jdk方式,存入redis的类需要实现序列化,或者修改redis的序列化方式。

2.需要把redis部署在不和项目服务器冲突的服务器上,不然nginx没法映射

3.修改redis的配置文件:bind在redis线上服务器ip 然后指定一下:src/redis-server ./redis.conf

2.基于token传输类似sessionid:java代码session实现迁移到redis

    //用户登录接口
    @RequestMapping(value = "/login", method = {RequestMethod.POST}, consumes = {CONTENT_TYPE_FORMED})
    @ResponseBody
    public CommonReturnType login(@RequestParam(name="telephone") String telephone,
                                  @RequestParam(name = "password") String password) throws BusinessException, UnsupportedEncodingException, NoSuchAlgorithmException {
        //入参校验
        if(org.apache.commons.lang3.StringUtils.isEmpty(telephone) || StringUtils.isEmpty(password)){
            throw new BusinessException(EmBusinessError.PARAMETER_VALIDATION_ERROR);
        }
        //用户登录服务,就是检验用户登录是否合法
        UserModel userModel = userService.validateLogin(telephone, EncodeByMds(password));
        //将登录凭证加入到用户登录成功的session内

        //修改成若用户登录验证成功后将对应的登录信息和登录凭证一起存入redis中

        //生成登录凭证token,UUID
        String uuidToken = UUID.randomUUID().toString();
        uuidToken = uuidToken.replace("-", "");

        //建立token和用户登录态之间的联系
        redisTemplate.opsForValue().set(uuidToken,userModel);  //只要有uuid,用户登录态就存在
        redisTemplate.expire(uuidToken,1, TimeUnit.HOURS);


        //下发token
        return CommonReturnType.create(uuidToken);
    }
    //封装下单请求
    @RequestMapping(value = "/createorder",method = {RequestMethod.POST},consumes = {CONTENT_TYPE_FORMED})
    @ResponseBody
    public CommonReturnType createOrder(@RequestParam(name="itemId")Integer itemId,@RequestParam(name = "promoId",required = false) Integer promoId,@RequestParam(name = "amount")Integer amount) throws BusinessException {
        String token = httpServletRequest.getParameterMap().get("token")[0];  //也可以从参数中获取
        if(StringUtils.isEmpty(token)){
            throw new BusinessException(EmBusinessError.USER_NOT_LOGIN,"用户还未登录,不能下单");
        }
        //获取用户登录信息
        UserModel userModel = (UserModel)redisTemplate.opsForValue().get(token);
        if(userModel == null){  //以过期
            throw new BusinessException(EmBusinessError.USER_NOT_LOGIN,"用户还未登录,不能下单");
        }
        OrderModel order = orderService.createOrder(userModel.getId(), itemId,promoId, amount);
        return CommonReturnType.create(order);
    }

分布式会话存储策略

分布式会话持久性管理:

不要redis降低处理到mysql中存储用户登录信息,一旦有高并发redis抗不住,关系型数据库一定也扛不住。所以还是要redis调优。

会话有效期时间:Tomcat默认为30min不与服务端发生交互的呆滞时间。

会话续命管理:触发操作延长声明周期,延长到30min,而不是加30min。

安全性问题:

1.url query string,get请求参数内(不安全)

2.自定义header内(不安全)

3.用安全传输的https:将http的明文字符流转用加密的方式换成数据流传输到服务端。但是发送请求时打开调试窗口仍可以看见请求格式,就可以模拟请求攻击。

4.自定义协议:使用app来进行输,app没有办法进行线上调试内在执行,只能通过wireshark等网络抓包工具去抓取http发出去的请求,这时候自定义协议就产生了效果,我们可以自己定义协议去传输报文,这样我们的请求就像https一样无法解析。

强登录态与弱登录态:

强登录态:需要登录操作才能做的行为

无需登录:只浏览公共页面

弱登录态:千人千面的智能推荐

弱登录态的续命能力:1.请求续命,2.keepalive续命

SSO单点登录:

同域名:都是www域名,则对应SSO是同一个存储即可。

根域名相同子域名不同:设置cookie时可以指定两个参数,第一个参数httpOnly=true,处理浏览器自身,javaScript是无法访问这个cookie的,第二个参数domain=/,只要拿到cookie,在顶级域名下都可以共享。

域名都不相同:两个不同的公司合作,太复杂,需要专业架构设计。

xy294636185
关注
专栏目录
如何实现分布式会话
Mr.xing的博客
02-04 1292
分布式会话
分布式会话
tdd18792032806的博客
09-08 595
1.介绍 分布式会话问题即分布式session的一致性问题,出现此问题的根本原因是http协议是无状态的协议。客户端和服务端在某次会话中产生的数据不会被保留下来,所以第二次请求服务端无法知道是否访问过。而记录用户信息,保持http状态的技术,就需要使用cookie和session。而基于服务端一般采用session进行实现。 2.分布式Session实现 (1)完全不用Session (2)nginx的IP_HASH策略 (3)Tomcat + Redis (4)Spring Session + Redis
分布式技术之会话与CAS
MineCodelife的博客
02-11 379
什么是会话 会话Session代表的是客户端与服务器的一次交互过程,这个过程可以是连续也可以是时断时续的. 无状态会话 HTTP请求是无状态的,用户向服务端发起多个请求,服务端并不会知道这多次请求都是来自同一用户,这个就是无状态的。cookie的出现就是为了有状态的记录用户.常见的,前后端分离交互,他们都是通过发起http来调用接口数据的,每次交互服务端都不会拿到客户端的状态,但是我们可以通过手段去处理,比如每次用户发起请求的时候携带一个userid或者user-token,如此一来,就能让服务端根据
分布式会话(session)
m0_37163942的博客
05-07 394
基概:Session 即服务器与客户端保持整个通讯的会话基本信息 客户端在第一次访问服务端的时候,服务端会响应一个sessionId并且将它存入到本地cookie中,在之后的访问会将cookie中的sessionId放入到请求头中去访问服务器,如果通过这个sessionid没有找到对应的数据那么服务器会创建一个新的sessionid并且响应给客户端 问题:如图 在单机环境时session是存储...
hiro分布式会话共23页.pdf.zip
10-29
很抱歉,根据您提供的信息,我无法生成超过1000字的详细IT知识内容,因为"hiro分布式会话共23页.pdf.zip"和"赚钱项目"这两个线索过于简洁,没有提供足够的具体信息来展开深入的技术讨论。"hiro分布式会话"可能涉及到...
分布式会话demo.zip
03-16
通过"分布式会话demo"的学习,开发者可以了解到如何在实际项目中选择合适的分布式会话策略,并结合Java和相关工具进行实施,提升应用的可扩展性和用户体验。实践中,需要根据业务场景和性能需求综合考虑各种因素,...
Java架构直通车——用Redis实现分布式会话
01-20
分布式会话Redis实现】 在现代Web应用中,随着业务规模的扩大,单体架构逐渐演变为分布式架构,这带来了更高的并发处理能力和系统扩展性。然而,分布式环境下的会话管理成为了一个挑战,因为传统的基于内存的...
sa-token:这可能是史上功能最全的Java权限认证框架!目前已集成-登录验证,权限验证,会话会话,踢人下线,分布式会话,单点登录,OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式鉴权,路由拦截式鉴权,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2 这可能是史上功能最全的Java权限认证框架! 在线资料 Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证,权限认证,会话会话,单点登录,OAuth2.0等长度权限相关问题 框架针对踢人下线,自动续签,前后台分离,分散会话……等常见业务进行N多适应,通过sa-token,你可以以一种极简的方式实现系统的权限认证部分 与其他权限认证框架索引, sa-token具有以下优点: 简单:可零配置启动框架,真正的开箱即用,规定上手 强大:目前已集成数十项权限相关特性,涵盖了大部分业务场景的解决方案 易用:如丝般顺滑的API调用,大量高级特性统统立即一行代码即可实现 高扩展:几乎所有组件都提供了扩展接口,90%以上的逻辑都可以按需重写 有了sa-token,你所有的权限认证问题,都不再是问题! Sa-Token能做什么?
SpringBoot项目之基于Token分布式会话解决方案(四)
weixin_36898373的博客
04-22 873
上一章节讲了【SpringBoot项目之基于Cookie传输sessionId的分布式会话解决方案(三)】,但是若是某些网站禁用了浏览器的cookie,我们的cookie方案就不能生效了,其实现在很多流行的互联网行业的网站都是基于token来实现分布式会话的,下面我们来看一下具体是如何实现的 ...
分布式会话服务解决方案(DSS)
滔滔不绝's Blog
05-14 953
多站点共享Cookie的时候可能存在这样的问题:A站点需要读取B站点一些用户的历史操作,而这些操作的记录是在B站点完成的。目前使用的是跨域Cookies的方式进行记录,但是由于Cookies本身的限制(如:IE7只能记录40项内容,且Cookies的大小不能超过3k),因此在记录上会存在一些次要功能(如产品浏览记录)的Cookies写入会覆盖主要功能(如用户登录信息)的Cookies的情况,影响站
分布式会话《九》
welcome to 一点点 home
07-29 279
由于http 是无状态协议 的,每次发起请求时服务端并不知道各个请求之间的关系,为解决这个问题,引入了session 与cookie配合记录客户端(浏览器)所发起的请求。 当打开浏览器发起HTTP 请求时,服务端的session 生成一个全局统一标识session_id,并将这个标识发送给客户端存储与cookie中,基于该统一标识便可管理当前浏览器所发起的请求之间的关系。springboot ...
什么是分布式会话
最新发布
Mr.xing的博客
05-25 116
当用户请求被分发到某个节点时,该节点可以从共享的数据存储中获取用户的会话数据,进行相应的处理,并将更新后的会话数据写回到共享存储中。在分布式系统中,用户的请求可能被分发到不同的服务器或节点上进行处理,这就带来了一个问题:如何确保不同节点之间能够共享和同步用户的会话数据,以保证用户在不同节点上的操作能够保持一致性和连续性?分布式会话分布式系统中实现用户会话管理的一种重要机制,通过将会话数据存储在共享存储中,保证了用户在不同节点上的操作一致性和连续性,提高了系统的可用性、可扩展性和数据一致性。
Redis实现分布式会话 使用Token实现登录注册 分布式会话拦截器 Token实现请求拦截 SpringBoot整合拦截器
weixin_43700943的博客
09-17 691
1.用户注册时生成Token @ApiOperation(value = "用户注册", notes = "用户注册", httpMethod = "POST") @PostMapping("/regist") public IMOOCJSONResult regist(@RequestBody UserBO userBO, HttpServletRequest request,
分布式会话解析
u014519722的博客
08-03 435
分布式会话一、什么是会话二、无状态会话三、有状态会话四、为何使用无状态会话五、单tomcat会话(图)六、动静分离会话七、集群分布式会话 一、什么是会话 会话sesssion代表的是客户端与服务器的一次交互过程,这个过程可以连续也可以时断时续的。曾经的servlet时代(JSP),一旦用户与服务端交互,服务器tomcat就会为用户创建一个session,同时前端也会有一个jsessionid,并根据这个ID在内存中找到相相对应的会话session,当拿到session会话后,那么我们就可以操作会话了,会话
Redis实现分布式会话
weixin_65700815的博客
01-13 1189
大白话:nginx就是一个接受请求,然后决定请求最终那个服务器来接受,这个算法我们后面给大家讲nginx或者ribbon的时候给大家补充,但是有时候会存在这样的问题,用户1第一次请求到tomcat1, 下一次请求的时候就可能请求到tomcat2了,这样会存在session丢失,然后系统提示我们需要登录。session 复制,也就是当一个服务器有新的session保存的时候,通过服务器通信机制,然后将session复制到其他的服务器,如果服务器较多的话,会存在大量的网路和io占用,效率低下。
Java分布式会话实践:借助Redis实现Session共享
"Java架构直通车——用Redis实现分布式会话" 在现代Web开发中,会话管理是一个关键的环节,确保用户在应用中的状态能够被正确跟踪和维护。本文主要探讨了如何使用Redis来实现分布式会话,以适应大规模、高并发的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值