對於分布式應用來說,最開始遇到的問題就是 session 的存儲了,解決方案大致有如下幾種
- 使用 spring-session 它可以把 session 存儲到你想存儲的位置,如 redis,mysql 等
- 使用 JWTs ,它使用算法來驗證 token 的合法性,是否過期,並且 token 無法被偽造,信息也是無法被篡改的
本文內容主要說 spring-session 使用 redis 來存儲 session ,實現原理,修改過期時間,自定義 key 等
spring-session 對於內部系統來說還是可以的,使用方便,但如果用戶量上來了的話,會使 redis 有很大的 session 存儲開銷,不太划算。
使用
使用起來比較簡單,簡單說一下,引包,配置,加注解 。如下面三步,就配置好了使用 redis-session
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
</dependency>
spring.redis.host=localhost
# 其它 超時,端口,庫,連接池,集群,就自己去找了
@EnableRedisHttpSession(maxInactiveIntervalInSeconds= 1800)
測試:因為是在 getSession 的時候才會創建 Session ,所以我們必須在接口中調用一次才能看到效果
@GetMapping("/sessionId")
public String sessionId(){
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
HttpSession session = request.getSession();
session.setAttribute("user","sanri");
return session.getId();
}
它的存儲結果如下
hash spring:session:sessions:e3d4d84f-cc9f-44d5-9199-463cd9de8272
string spring:session:sessions:expires:e3d4d84f-cc9f-44d5-9199-463cd9de8272
set spring:session:expirations:1577615340000
第一個 hash 結構存儲了 session 的一些基本信息和用戶設置的一些屬性信息
creationTime 創建時間
lastAccessedTime 最后訪問時間
maxInactiveInterval 過期時長,默認是 30 分鍾,這里保存的秒值
sessionAttr:user 這是我通過 session.setAttribute 設置進去的屬性
第二個 string 結構,它沒有值,只有一個 ttl 信息,標識這組 key 還能活多久,可以用 ttl 查看
第三個 set 結構,保存了所以需要過期的 key
實現原理
說明:這個實現沒多少難度,我就照着源碼念一遍了,就是一個過濾器的應用而已。
首先從網上了解到,它是使用過濾器來實現把 session 存儲到 redis 的,然后每次請求都是從 redis 拿到 session 的,所以目標就是看它的過濾器是哪個,是怎么存儲的,又是怎么獲取的。
我們可以從它唯一的入口 @EnableRedisHttpSession 進入查看,它引入了一個 RedisHttpSessionConfiguration 開啟了一個定時器,繼承自 SpringHttpSessionConfiguration ,可以留意到 RedisHttpSessionConfiguration 創建一個 Bean RedisOperationsSessionRepository repository 是倉庫的意思,所以它就是核心類了,用於存儲 session ;那過濾器在哪呢,查看SpringHttpSessionConfiguration 它屬於 spring-session-core 包,這是一個 spring 用來管理 session 的包,是一個抽象的概念,具體的實現由 spring-session-data-redis 來完成 ,那過濾器肯定在這里創建的,果然可以看到它創建一個 SessionRepositoryFilter 的過濾器,下面分別看過濾器和存儲。
SessionRepositoryFilter
過濾器一定是有 doFilter 方法,查看 doFilter 方法,spring 使用 OncePerRequestFilter 把 doFilter 包裝了一層,最終是調用 doFilterInternal 來實現的,查看 doFilterInternal 方法
實現方式為使用了包裝者設計把 request 和 response 響應進行了包裝,我們一般拿 session 一般是從 request.getSession() ,所以包裝的 request 肯定要重寫 getSession ,所以可以看 getSession 方法來看是如何從 redis 獲取 session ;
前面都是已經存在 session 的判斷相關,關鍵信息在這里
S session = SessionRepositoryFilter.this.sessionRepository.createSession();
這里的 sessionRepository 就是我們用來存取 session 的 RedisOperationsSessionRepository 查看 createSession 方法
RedisOperationsSessionRepository
// 這里保存了在 redis 中 hash 結構能看到的數據
RedisSession redisSession = new RedisSession();
this(new MapSession());
this.delta.put(CREATION_TIME_ATTR, getCreationTime().toEpochMilli());
this.delta.put(MAX_INACTIVE_ATTR, (int) getMaxInactiveInterval().getSeconds());
this.delta.put(LAST_ACCESSED_ATTR, getLastAccessedTime().toEpochMilli());
this.isNew = true;
this.flushImmediateIfNecessary();
在 flushImmediateIfNecessary 方法中,如果 redisFlushMode 是 IMMEDIATE 模式,則會立即保存 session 進 redis ,但默認配置的是 ON_SAVE ,那是在哪里保存進 redis 的呢,我們回到最開始的過濾器 doFilterInternal 方法中,在 finally 中有一句
wrappedRequest.commitSession();
就是在這里將 session 存儲進 redis 的 ,我們跟進去看看,核心語句為這句
SessionRepositoryFilter.this.sessionRepository.save(session);
session.saveDelta();
if (session.isNew()) {
String sessionCreatedKey = getSessionCreatedChannel(session.getId());
this.sessionRedisOperations.convertAndSend(sessionCreatedKey, session.delta);
session.setNew(false);
}
進入 saveDelta ,在這里進行了 hash 結構的設置
getSessionBoundHashOperations(sessionId).putAll(this.delta);
最后一行進行了過期時間的設置和把當前 key 加入 set ,讀者自行查看
RedisOperationsSessionRepository.this.expirationPolicy
.onExpirationUpdated(originalExpiration, this);
修改一些參數
實際業務中,可能需要修改一些參數才能達到我們業務的需求,最常見的需求就是修改 session 的過期時間了,在 EnableRedisHttpSession 注解中,已經提供了一些基本的配置如
maxInactiveIntervalInSeconds 最大過期時間,默認 30 分鍾
redisNamespace 插入到 redis 的 session 命名空間,默認是 spring:session
cleanupCron 過期 session 清理任務,默認是 1 分鍾清理一次
redisFlushMode 刷新方式 ,其實在上面原理的 flushImmediateIfNecessary 方法中有用到,默認是 ON_SAVE
redisNamespace 是一定要修改的,這個不修改會影響別的項目,一般使用我們項目的名稱加關鍵字 session 做 key ,表明這是這個項目的 session 信息。
不過這樣的配置明顯不夠,對於最大過期時間來說,有可能需要加到配置文件中去,而不是寫在代碼中,但是這里沒有提供占位符的功能,回到 RedisOperationsSessionRepository 的創建,最終配置的 maxInactiveIntervalInSeconds 還是要設置到這個 bean 中去的,我們可以把這個 bean 的創建過程覆蓋,重寫 maxInactiveIntervalInSeconds 的獲取過程,就解決了,代碼如下
@Autowired
RedisTemplate sessionRedisTemplate;
@Autowired
ApplicationEventPublisher applicationEventPublisher;
@Value("${server.session.timeout}")
private int sessionTimeout = 1800;
@Primary // 使用 Primary 來覆蓋默認的 Bean
@Bean
public RedisOperationsSessionRepository sessionRepository() {
RedisOperationsSessionRepository sessionRepository = new RedisOperationsSessionRepository(sessionRedisTemplate);
// 這里要把原來的屬性引用過來,避免出錯 ,可以引用原來的類並復制屬性 ;像 redisNamespace,redisFlushMode 都要復制過來
return sessionRepository;
}
還有一個就是 redis 的序列化問題,默認是使用的 jdk 的對象序列化,很容易出現加一個字段或減少一個字段出現不能反序列化,所以序列化方式是需要換的,如果項目中的緩存就已經使用了對象序列化的話,那就面要為其單獨寫一個 redisTemplate 並設置進去,在構建 RedisOperationsSessionRepository 的時候設置 redisTemplate
還有一個很重要的問題就是登錄踢出問題,有時候只允許一個端登錄,其它的端都要退出,這個需要在登錄成功后才能把其它端踢出,我嘗試過很多方法去修改存入 redis 的 key ,但最終都是失敗的,因為操作不了 RedisSession ,就算建一個同包的類去修改它,SessionRepositoryRequestWrapper 也是無法修改的,需要在 commitSession 的時候把 sessionId 寫入前端,這里在之前就已經寫了原來的 UUID 值,所以我們能做的就是在登錄成功后,把當前登錄的 sessionId 和當前用戶對應起來存入 redis ,下次登錄之前做一次檢測,如果已經登錄,則把之前的 key 刪除,但作者嘗試過使用 SessionRepository 的 deleteById 刪除 redis 的 session 記錄,但是無效,刪不干凈,看源碼發現那里是直接使用值來刪除 set 中內容的,可能是序列化問題,希望有成功的大神可以指導下。
一點小推廣
創作不易,希望可以支持下我的開源軟件,及我的小工具,歡迎來 gitee 點星,fork ,提 bug 。
Excel 通用導入導出,支持 Excel 公式
博客地址:https://blog.csdn.net/sanri1993/article/details/100601578
gitee:https://gitee.com/sanri/sanri-excel-poi
使用模板代碼 ,從數據庫生成代碼 ,及一些項目中經常可以用到的小工具
博客地址:https://blog.csdn.net/sanri1993/article/details/98664034
gitee:https://gitee.com/sanri/sanri-tools-maven