分布式下session认证出现的问题与使用spring session解决

最新推荐文章于 2022-10-12 16:14:30 发布
最新推荐文章于 2022-10-12 16:14:30 发布
阅读量787 收藏 2
点赞数 1
分类专栏: 项目 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Tc_lccc/article/details/118752525
版权

分布式下session认证存在的问题

session认证: 客户端在服务端登录认证后,服务端自己保存用户信息,并把session_id放到客户端的cookie中,下次客户端带着cookie访问服务端就可以直接访问

这种session认证在分布式下会存在问题

  1. 无法访问其他相同模块的集群服务器

    因为只在一个服务端上保存信息,其他相同的集群服务器没保存

  2. 无法访问其他模块的服务器

    因为其他模块的服务器上未保存信息,所以无法访问

解决方案

  1. session复制

    • 只需要改tomcat配置文件
    • 占服务器的带宽,内存,浪费资源

  2. 客户端存储session

    • 服务端不用存session
    • 不安全(被篡改),cookie容量有限

  3. hash一致性(浏览器从哪个IP访问了服务端,就一直用那个服务端处理该浏览器的请求)

    • nginx提供了根据IP绑定服务端的负载均衡算法,只改nginx配置文件即可
    • 无法解决问题2

  4. 使用中间件Redis统一存储session

    • 问题2访问其他模块服务端时,可以使用子域session共享解决
    • 多增加了网络调用,redis获取数据比内存慢

  5. 使用基于token的认证方式

使用Spring session

解决分布式下session认证问题

spring session可以采用中间件redis统一存储session方案解决这个问题,同时还解决了redis获取数据速度慢的问题

  1. 导入依赖

    <!--        spring session2-->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

  2. 编写配置文件

    #配置存到redis
spring.session.store-type=redis 
#过期时间
server.servlet.session.timeout=30m

  3. 添加注解开启功能

    @EnableRedisHttpSession

此时已经完成了将session存在redis中的功能,还未解决session子域问题

在这里插入图片描述

解决session子域问题,实际上就是修改产生session时设置的Domain

配置解决session域问题和序列化问题

@Configuration
public class GulimallSessionConfig {


    /**
     * 解决session域问题
     *
     * @return
     */
    @Bean
    public CookieSerializer cookieSerializer() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();

        //设置Domain
        cookieSerializer.setDomainName("gulimall.com");
        //设置session名
        cookieSerializer.setCookieName("GULISESSION");

        return cookieSerializer;
    }


    /**
     * 设置session存储redis序列化为json格式
     *
     * @return
     */
    @Bean
    public RedisSerializer<Object> springSessionDefaultRedisSerializer() {
        return new GenericJackson2JsonRedisSerializer();
    }
}

在这里插入图片描述

Spring session原理
  1. @EnableRedisHttpSession导入@Import(RedisHttpSessionConfiguration.class)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-of1NcEsI-1626313635270)(项目整合认证服务.assets/在这里插入图片描述
)]

  1. RedisHttpSessionConfiguration中向容器添加了SessionRepository的实现类RedisOperationsSessionRepository

    2.1 SessionRepository接口的方法提供了对session的增删改查操作,那它的实现类RedisOperationsSessionRepository可想而知就是redis对session的增删改查操作

    在这里插入图片描述

  2. RedisHttpSessionConfiguration继承了父类SpringHttpSessionConfiguration

在这里插入图片描述

3.1 SpringHttpSessionConfiguration的init中实现了之前我们加入容器的CookieSerializer(有就用我们的,没有就用默认的)

在这里插入图片描述

3.2 SpringHttpSessionConfiguration还向容器中添加了SessionRepositoryFilter,SessionRepositoryFilter最终实现Filter接口,每个请求必须经过filter

在这里插入图片描述

3.3 SessionRepositoryFilter构造的时候,会将SessionRepository放进去(这里会放实现类RedisOperationsSessionRepository)

在这里插入图片描述

3.4 SessionRepositoryFilter使用装饰模式,在doFilterInternal方法中将原生请求,响应封装为SessionRepositoryRequestWrapper,SessionRepositoryResponseWrapper

在这里插入图片描述

3.5 SessionRepositoryRequestWrapper中重写了getSession,所以我们拿到session存东西,一定会经过请求链,被它们用redis根据情况执行增删改查操作 [获取session要使用原生请求获得(HttpSession session1 = request.getSession(); HttpServletRequest request)]

总结

  • @EnableRedisHttpSession导入@Import(RedisHttpSessionConfiguration.class)

  • RedisHttpSessionConfiguration中向容器添加了SessionRepository的实现类RedisOperationsSessionRepository

    • SessionRepository接口的方法提供了对session的增删改查操作,那它的实现类RedisOperationsSessionRepository可想而知就是redis对session的增删改查操作

  • RedisHttpSessionConfiguration继承了父类SpringHttpSessionConfiguration

    • SpringHttpSessionConfiguration的init中实现了之前我们加入容器的CookieSerializer(有就用我们的,没有就用默认的)

    • SpringHttpSessionConfiguration还向容器中添加了SessionRepositoryFilter,SessionRepositoryFilter最终实现Filter接口,每个请求必须经过filter

    • SessionRepositoryFilter构造的时候,会将SessionRepository放进去(这里会放实现类RedisOperationsSessionRepository)

    • SessionRepositoryFilter使用装饰模式,在doFilterInternal方法中将原生请求,响应封装为SessionRepositoryRequestWrapper,SessionRepositoryResponseWrapper

    • SessionRepositoryRequestWrapper中重写了getSession,所以我们拿到session存东西,一定会经过请求链,被它们用redis根据情况执行增删改查操作[获取session要使用原生请求获得(HttpSession session1 = request.getSession(); HttpServletRequest request)]

  • 核心组件

    • SessionRepository(实现类RedisOperationsSessionRepository)

      • 使用redis对session进行增删改查

    • SessionRepositoryFilter

      • 装饰模式封装请求,响应,重写getSession的实现,用SessionRepository来对session进行增删改查
SpringBoot】18、SpringBoot中使用Session共享实现分布式部署
Asurplus
06-10 21万+
前言:我们知道,在单体项目中,我们将用户信息存在 session 中,那么在该 session 过期之前,我们都可以从 session 中获取到用户信息,通过登录拦截,进行操作 但是分布式部署的时候,我们请求的服务器可能不是同一台服务器,那么我们就必须要面对 session 共享的问题,下面介绍的是在 SpringBoot 实现 session 共享的方式 一、创建项目 创建 SpringBoot 项目,选择 Maven 依赖 最终 pom.xml 文件如下: <!-- redis的依赖 --&g
Spring Session分布式会话管理详解
最新发布
weixin_53840353的博客
07-01 1432
Spring Session是一个用于管理HttpSessionSpring框架模块。它能够将HttpSession存储在各种后端数据存储中,如Redis、JDBC、Hazelcast等,从而实现会话共享,为分布式系统中的会话管理提供了便捷的解决方案。通过Spring SessionRedis的结合,我们可以轻松实现分布式会话管理,为分布式系统中的会话共享提供了强有力的支持。
spring-session(一)揭秘
weixin_33795093的博客
09-18 246
前言 在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。主要从以下三个方面进行热脑: 为什么要spring-session 比较traditional-session方案和spring-session方案 JSR340规范spring-session的透明继承 一.为什么要spring-session 在传统单机web应用中,一般使用tomcat/jetty等web...
spring-session的一次问题排查
master_boy的博客
12-14 683
spring-session 一次问题排查
sessiontoken
Uzizi的博客
07-30 510
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
分布式session共享问题 4种解决方案及spring session使用
weixin_44335140的博客
02-26 6910
session分布式环境下存在的问题 由于HTTP协议是无状态的,在开发中我们可以将用户的信息存储在服务器session中,并生成之相对应的JSESSIONID通过cookie返回给浏览器。浏览器下次访问,cookie会自动携带上次请求存储的数据(JSESSIONID)到服务器中,服务器根据JSESSIONID找到对应的session,从而获取用户的信息。 该机制在单体应用中是没有问题的,但是如果在分布式环境下,会产生session共享问题,即session的数据在服务1中存在,但是在服务2中不存在。
使用springsession遇到的一些坑
woshihedayu的博客
07-22 565
spring session能够将HttpSession中的数据存到redis里面,最近在使用过程中遇到各种报错,导致springboot无法启动,后来发现应该这样配置: 所需的maven依赖项 <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </depe
SpringSession - 分布式Session解决方案及SpringSession基本使用
江南烟雨却痴缠丶
06-20 1775
分布式Session的几种解决方案 1、Session复制 Tomcat服务器互相同步session。 优点: web-server (Tomcat) 原生支持,只需要修改配置文件 缺点: 1、session同步需要数据传输,占用大量网络带宽,降低了服务器群的业务处理能力 2、任意一台web-server保存的数据都是所有web-server的sesdion总和,受到内存限制无法水平扩展更多的web-server 3、大型分布式集群情况下,由于所有web-server都全量保存数据,所以此方案不可取。 2
spring session redis分布式session
06-05
为了解决这个问题Spring Session提供了一种优雅的解决方案,特别是结合Redis作为持久化存储时,可以实现高效的分布式Session管理。本文将详细介绍Spring SessionRedis集成,以及如何自定义Session来应对分布式...
Spring Session实现分布式session的简单示例
08-30
分布式 Session 可以解决这个问题,使得分布式系统中的每个服务器都能访问同一个 Session,从而实现了 Session 的共享。 Spring Session 介绍 Spring SessionSpring 框架的一部分,用于实现分布式 Session。...
spring boot 基于外部权限系统扩展Session Repository实现登陆权限验证
weixin_34268753的博客
05-17 388
在进行一些公司内部系统开发中,经常会需要对接公司内部统一的权限管理系统进行权限角色验证等等。在实际开发过程中可以借助SpringSession Repository实现权限验证功能。实现步骤如下: 一、添加自定义Session注解EnableUserHttpSession package com.web.common.session; ...
遇到验证码后台session中不能使用问题,那是因为跨域导致cookie不能成功写入和携带,解决问题的办法
zhangyizuishuai的博客
11-11 1596
跨域set-cookie无效的解决方案 上次在项目中做一个手机验证码功能时遇到后端set-cookie无法成功的问题,相信很多人都会遇到,今天分享出来,算是做个记录,也给有需要的小伙伴一个参考,下面先说一下场景 手机验证码实现步骤 用户输入手机号并点击发送验证码按钮 此时是向后端服务器发起高请求,传递手机号码 后端接收到手机号码后通过短信服务商的接口发送短信到手机号 由于安全性问题,一般服务商的接口都是由后端发起请求,那验证码是怎么来的呢?当然是我们自己后端生成的(一般是生产一个4位或6位随机数字号码),短
SecureRandom生成随机数超慢 导致tomcat启动时间过长的解决办法
热门推荐
一黑到底
02-07 1万+
使用腾讯云的CentOS 7.2 CVM 服务器跑Tomcat时发现,Tomcat启动的特别慢,通过查看日志,发现时间主要花在实例化SecureRandom对象上了。由该日志可以看出,实例化该对象使用了460秒,导致整个应用启动了480秒之久。根本原因是SecureRandom 这个jre的工具类的问题. 具体内容:JDK-6521844 : SecureRandom hangs on Linux
Spring —— 接口太慢?使用Spring自带缓存!
看了就会暴富的博客!
06-30 392
首先要保证项目中已经接入的redis缓存。Redission的缓存接入教程可参考 Redission —— 项目想接入缓存?3分钟即可! 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-cache</artifactId>
分布式session解决方法
白羊座的橙子
01-02 372
SpringSession
分布式Session问题解决
weixin_45264992的博客
08-28 282
分布式Session问题 前言: 在高并发业务中,一台Tomcat服务器已经无法支持足够的并发量,这时我们需要多个Tomcat服务器,而多个Tomcat服务器我们经常配合Nginx使用问题: 由于Nginx使用默认负载均衡策略(轮询),即用户的请求按时间顺序被Nginx转发到不同的后端应用。比如用户在Tomcat A登录,用户Session存放在Tomcat A,可是过一会用户继续操作,此时由于Nginx轮询,将请求交给了Tomcat B,但是Tomcat 并没有用户的Session,那么用户就必须重新
springboot启动后第一次使用session速度慢
♾️
04-09 1460
有两种解决方案: 1,可以通过配置JRE使用非阻塞的Entropy Source: 在catalina.sh中加入这么一行:-Djava.security.egd=file:/dev/./urandom 即可。 2,在JVM环境中解决 打开$JAVA_PATH/jre/lib/security/java.security这个文件,找到下面的内容: securerandom.source=file:...
用户认证机制之session认证的原理和缺点
魏波
10-12 1728
当我们第一次访问网站的时候,负载均衡将本地的请求分配到Web服务器A,那么session创建在Web服务器A,第二次访问的时候如果我们不做处理就不能保证还是会落到Web服务器A了。Session数据集中存储:将Session存入分布式缓存集群中,所有服务器应用实例统一从分布式缓存集群中存取Sessionsession机制方式基于cookie,在移动应用上无法有效使用,并且无法跨域,保持住会话的做法非常麻烦。(2)基于session认证认证方式,可以更好的在服务端对会话进行控制,且安全性较高。
Spring Session产生的sessionidcookies中的sessionid不一样的问题 && httpOnly 设置不起作用
taoism_jerry的博客
06-11 4509
摘自 : https://www.cnblogs.com/imyjy/p/9187168.html 背景:   Springboot 2.0 (spring-session-data-redis + spring-boot-starter-web) 需求: 通过cookies中取到的 sessionid 获取到 session 预期效果: @Autowired private SessionRep...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值