如果仅仅是写demo,对于sprintboot项目,只要在启动类加上@EnableRedisHttpSession注解就可以实现session共享(参考网上教程),但是,如果企业项目,还有很多细节需要考虑。
session中的数据在redis中的存放格式
每一个会话在redis中对应3个key
> keys *spring:session*
spring:session:sessions:expires:32d0d3b2-0f04-469b-a917-3a55e60f7393
spring:session:sessions:32d0d3b2-0f04-469b-a917-3a55e60f7393
spring:session:expirations:1610695080000
其中spring:session:sessions:32d0d3b2-0f04-469b-a917-3a55e60f7393存放的是具体内容,sessionAttr开头的field与setAttribute()一一对应
> type spring:session:sessions:32d0d3b2-0f04-469b-a917-3a55e60f7393
hash
> hkeys spring:session:sessions:32d0d3b2-0f04-469b-a917-3a55e60f7393
lastAccessedTime
creationTime
maxInactiveInterval
sessionAttr:Authorization
sessionAttr:userInfo
后端如何识别session
第一次创建SESSION时(一般是登录的时候),后端把sessionId set-cookie到前端
image.png
之后的请求,前端把cookie中的SESSION传到后端,后端根据cookie识别session
image.png
session自动续期问题
后端的接口一般会有token认证机制(jwt是常见的token实现方案),token会有一定的有效期,如果token过期,后端返回401状态码(unauthorized),前端的公共js方法看到状态码为401 ,提示用户“登陆已过期”并跳转到登录页。
假设token有效期默认为30分钟,用户A登录后生成一个token,30分钟内用户不停的操作,这种情况下,假如token依然过期,提示用户“登陆已过期”并跳转到登录页,用户体验就会非常差。
因此,token通常会有自动续期的机制,每次用户调用接口时,把redis中该token的ttl重置为30min。
假设token的有效期比session的长,session过期了但是token没过期,那么用户仍处于登录状态,这时如果调用一些需要从session取数据的接口,就会有问题。
因此,session的有效期,至少要跟token一样长,但是token有自动续期机制,所以session也要有自动续期机制。
经测试,springboot项目,使用redis实现session共享,session的有效期默认为2100s,即35分钟,并且,springboot已经实现了自动续期,每次访问session(getSession或者存取数据),都会把ttl重置为2100s。
看起来已经完美了,其实还有问题。
假如用户35min内的操作,都不涉及session,那么session就会过期,但是token依然没过期,还是会有问题。
解决方案是:每次token校验成功后,调用一次getSession(false)方法,重置session的ttl。
禁止创建新的session
如果某一次请求时,后端创建了新的session,就会把新的sessionId set-cookie到前端,之后前端发起请求时,cookie会带上新的sessionId,后端也根据这个新的sessionId寻找会话。
但是,这个新的sessionId并没有对应的内容(一般只会在登录的时候,把用户信息等内容set到session)。
因此,仅当登录的时候,允许创建新的session,其余的地方,如果需要获取session,需要用getSession(false),false表示不创建新session,若session为空返回null。
注意:getSession()等价于getSession(true),在没有session时,会创建新session。
序列化与反序列化问题
如果是通过session的setAttribute()和getAttribute() api实现数据存取,springboot会帮我们实现序列化和反序列化,但是,假如我们需要自己实现数据存取(比如我们是开发人员,想要查看用户session里的信息,就需要自己实现反序列化),该怎么办?
以获取session中的内容为例,session的内容在redis中以hash格式存放,而redis对该hash的value使用的serializer是JdkSerializationRedisSerializer,因此,如果要把session的内容(字节数组)转化为java对象(即反序列化过程),需要设置serializer为JdkSerializationRedisSerializer。
@Autowired
private RedisTemplate<String, String> redisTemplate;
@Override
public Object hGetForSession(String key, String field) {
redisTemplate.setHashValueSerializer(new JdkSerializationRedisSerializer());
return redisTemplate.opsForHash().get(key, field);
}
setAttribute()的缓存问题
每次执行session.setAttribute(),并不会马上把数据写到redis,而是先写到本地内存缓存,等本次请求结束后,再写到redis。
cookie的path和httponly属性
path属性为glcs,代表请求路径需要包含glcs,才会把该cookie带到后端;
httponly属性,表示该cookie无法通过js读取/修改,比如document.cookie无法读取,只有发起http请求的时候才会自动带到后端
image.png
其他
也可以使用EnableMongoHttpSession注解用MongoDB来管理session
网友评论