服务器哥的session故事

作者: yubang | 来源:发表于2016-03-18 13:06 被阅读332次

       首先什么是session,字面意思是会话控制。个人理解就是就是一套可以识别用户的系统,为什么需要一套叫做session的东西来识别用户呢?这就得从http协议说起,http协议是基于TCP/IP协议的一层封装(为了让大家都容易理解一些,我都以直白的方式来说,尽量不扯太底层的东西)。用户在访问一个网站的时候,每一次请求页面之后都是断开连接的,既然是断开连接的,那么我下一次访问的时候服务器哥怎么知道是我再一次访问呢?最简单的方式,第一次我给一个凭证你,这个凭证记录着一些与身份相关的信息,第二次你访问的时候给我看这个凭证,我就知道你是之前的那个用户了。

凭证的交付

       既然我们知道用`凭证`这一个办法可以识别用户,那么好了,我们就要想办法给用户一个凭证。怎么给也是一个技术活,一个最简单的办法:把凭证信息都放在cookie就行了,反正用户每次访问都会带着cookie访问的。

制作凭证

        既然知道如何给用户凭证了,那么服务器哥就很开心啦(可以识别用户咯),赶紧就开始制作凭证,一开始就直接把用户信息直接放到cookie里面(姓名:小明,性别:男,年龄不详),这个时候把凭证给了小明,然后每一次小明都拿这个凭证给服务器哥看,然后就可以愉快的玩耍咯。

凭证的信任危机

        一开始服务器哥非常相信用户,没想到有一天,某个用户竟然在凭证上伪造了内容,让服务器哥误认为他是某个用户(这个时候凭证是明文,该起来非常方便),然后被伪造的那个用户的信息泄漏了。。。信息无价呐,服务器哥怎么可能让这事情蔓延下去,所以服务器哥立马把凭证内容加密了(这个加密是可逆加密),这个时候用户拿到的是一堆看不懂的数据,不过服务器哥自己可以解密,用户也无法伪造凭证,这样子就解决了一下凭证的信任危机。(python的flask框架就是这样子处理的)

凭证内容保密问题

       虽然服务器哥加密了凭证的内容,然而毕竟是可以解密的,假如有一些信息不希望用户看到的,但是为了方便又想写在凭证上面怎么办呢。这个时候,服务器哥想到给用户的凭证只记录一个唯一的编码,然后在自己这里放着用户凭证的具体数据,然后为这个数据关联编码就好了。

凭证保存问题

         既然凭证信息放在服务器哥这里,那么又该怎么存放呢。服务器哥想了几套解决方案出来:

(1)基于文件的存储

(2)基于数据库的存储

(3)基于内存的存储

(4)基于memcached的存储

(5)基于redis的存储

       基于文件的存储,我们只需要简单的以用户拿到的唯一编码作为文件名就好,具体信息放在文件里面(我之前写的paas系统就是用了这种方案:https://github.com/yubang/app/blob/master/middle/session.py)。这种方案有几个缺点,首先磁盘读写速度并不快,然后凭证的唯一编码有过期时间,随着时间的流失,废弃的文件也会越来越多,所以还要定时删除过期的文件。并且在多台服务器的时候,还要保持每台服务器都能读取到这些文件。

       基于数据库的存储,这种方案跟基于文件差不多,比文件的优点是有多台服务器的时候,只要连着一台数据库就可以保证读取到这些数据。

       基于内存的存储这方案主要优点是读写数据比较快,然而内存断电后数据都没了,并且程序之间内存独立了(不过linux系统有一个/dev/shm的目录是映射到内存的),并且多服务器时候读取数据也是一个问题,过期数据也要手动清除。

       基于memcached这种方案其实跟内存差不多,然而memcached帮我们解决了除了断电数据丢失之外的大部分问题,在数据超过一定量时候删除一些数据,支持多台服务器来读取数据。

        基于redis这种方案其实是拥有了memcached的优点,并且断电后数据还保存数据(哈哈,服务器哥再也不担心断电咯)

凭证交付难题

        技术路总是困难重重的,服务器哥好不容易依靠cookie交付凭证,解决了各种安全问题。突然有一天,一个用户说我不使用cookie的(服务器哥哭晕了),用户又不能得罪的,怎么办呢?左想右想(技术总有替代方案的),终于找到几个办法:

(1)每次请求都在url附带上唯一编码(哈哈,好办法)【类似于我们平时调用第三方API】

(2)每次访问在headers附带上唯一编码(也是办法)

故事结局

       不知不觉这个故事就说完了,最后就是服务器哥利用一张凭证成功记住了用户。

       总的来说,session就是给每一个用户一个随机的唯一的编号,交付途径可以是cookie,url或者headers。而通过这个唯一的编码,映射到服务器存储的具体信息,保存方案各种各样有磁盘有内存。

题外话

技术是无味的,代码只是一堆字符,然而代码制作的产品却是令人振奋的,我只想以最简单有趣的话解说最无味的底层技术,如果喜欢的话,点赞是对我最好的支持。

相关文章

  • 服务器哥的session故事

    首先什么是session,字面意思是会话控制。个人理解就是就是一套可以识别用户的系统,为什么需要一套叫做se...

  • session的工作原理

    Session 工作原理 1、创建Session 当用户访问到一个服务器,如果服务器启用Session,服务器就要...

  • session/cookie/token区别

    session "会话",当用户打开页面,服务器会生成session,使用session将用户的信息缓存在服务器或...

  • 两种登陆验证

    JWT、session 有状态:session 需要在服务器保存 session,客户端也需要将 session ...

  • Session的获取及特点:

    Session是在用户第一次访问服务器时,服务器自动创建的Session对象,如果需要Session对象需要通过r...

  • session

    服务器端的一个存储空间 session只能在服务器端操作,浏览器不能操作session!! session也是有过...

  • session和cookie

    session的实现原理 服务器会为每一个访问服务器的用户创建一个session对象,并且把session对象的i...

  • Flask中session机制说明

    session的机制 session广义上是一种机制 session狭义上:保存到服务器中的session数据 先...

  • session和cookie

    session 1.session的理解:session是服务器端与客户端浏览器的会话过程,主导是在服务器端,第一...

  • CI SESSION 本地每次接口请求session_id不一致

    描述:接口框架CI,session默认引擎files,服务器请求session没问题,本地每次请求session ...

网友评论

  • ElonYanJ:一口气把文章都看完了
    yubang: @Joelya 谢谢捧场
  • archersx: 你好,看完文章之后有三个问题。。第一,文章最后几段中说: “总的来说,session就是给每一个用户一个随机的唯一的编号”,想问下服务器是通过什么方式给用户编号的?cookie吗?第二,文章中讲到这个编号随着时间流逝会失效,所以想问下假如用户过了很久才又一次登陆的话服务器怎么知道这个用户对应哪些信息呢?第三,文中提出“凭证”可能被伪造所以不安全,那服务器发给用户的编号就不会被伪造吗?这里的伪造是说被别人窃取吗?
    感激不尽~
    archersx:@yubang 谢谢。
    yubang:@archersx 第一个问题,这个编号可以用当前时间的md5作为一个唯一编号,但是为了更加安全,可以程序维护一个计数器,用当前时间的md5加上计数器的值再md5。第二个问题,编号的确是有有效期的,当然你也可以设置成永久,假如编号对应的信息没有了,就可以视为该用户没用登录,让他重新登录,这种情况如同平时登录邮箱一样。因为我们编号是一个随机值,伪造的可能性比较低而已,并不是说不能伪造,因为随机没有规律,所以安全一些。
  • Ardoon:通俗易懂
    yubang:@凌乱的简单 :smile:
  • 請叫我小呆:给力!!!大赞
    yubang:@請叫我小呆 谢谢 :smiley:
  • 莫十三:程序狗
    yubang:@莫十三 作为一个实习生,都没毕业,哪有加班费。大城市工资只够养活自己 :sob:
    莫十三:@yubang 有钱就好
    yubang:@莫十三 作为一个程序猴子,两年以来没有周末 :joy:

本文标题:服务器哥的session故事

本文链接:https://www.haomeiwen.com/subject/ghaclttx.html