我是一個web服務器
我是一個web服務器,我的工作是給人類提供上網服務,我每天要為數以萬計的人提供網頁瀏覽服務。
已經是深夜了,我還在和手下幾個兄弟為了一件事緊張討論着。
“老大,現在咱們每天處理的請求越來越多了,session同步的問題不能再拖了,必須想個辦法”
“二哥說的是啊,老大,不能再拖了”
“老二,老三,咱們是一個集群,你們說的問題我不是不知道,我昨天聽程序員們在討論說要給我們接入一個叫Redis的家伙,相信這一問題很快就能得到解決啦,大家再忍忍。”
“Redis,他是誰,什么來頭?怎么沒聽過這號人物”
“我也沒見過,等等看吧”
session-cookie時代
到底是什么問題,讓我們兄弟幾個如此着急上火?事情還得從多年以前說起······
那時候,這倆兄弟還沒來,就我一個web服務器,每天處理的不過是一些靜態資源文件,像HTML、CSS、JS、圖片等等,日子過的清閑自在。
日子一天天過着,互聯網卻悄然發生着變化。除了靜態網頁之外,可以動態交互的網絡應用開始如雨后春筍般涌現,像各種各樣的論壇啊,購物網站啊之類的。
這家公司的老板也不例外,招了一幫程序員要搞一套支持動態網頁交互的網站出來。
以往的時候,我只需要按照HTTP協議的規范處理請求就完事兒了。不過動態交互應用出現后,我還得記住每一個請求背后的用戶是誰,要不然就張冠李戴,全亂套了。
為了解決這個問題,程序員們想出了一個叫session的辦法:
瀏覽器登陸以后,我就分配一個session id,表示一個會話,然后返回給瀏覽器,讓它保存着。后續再來請求的時候,就把它給帶上,我就能知道是誰啦!
還別說,這辦法還是挺管用的,成功解決了用戶身份識別的問題,這一用就是好幾年。
不過,互聯網的發展實在是太快了,用戶量蹭蹭上漲,而我卻發起了愁。
原先用戶量少的時候,session id管理起來倒也簡單,現在用戶越來越多,對應的session id數量也與日俱增,我有點不堪重負了。
終於前不久,公司對web服務器進行了擴展,給我找來了兩個小弟,還專門添置了一個nginx來進行負載均衡,這一下我們變成了3台web服務器組成的小集群了。
我的工作一下輕松了許多,兩位小兄弟為了分擔了不少。我原以為以后的日子要好過一些了,可沒想到,兩位小兄弟的加入卻引入了新的問題。
原先的session id雖然很多,我一個人累是累點,但是方便管理啊!現在人手是增加了,可是這個session id的管理問題卻變得復雜起來。
因為咱們現在是個集群,請求如果發到我這,我給登記了session id,但下一次請求說不定就發到老二那里,一會兒又發到老三那里,這個就說不准了,這樣我們幾個手頭的信息不一致,就會出現一些異常情況,用戶估計要破口大罵:這什么辣雞網站?
后來我們跟nginx商量了一下,讓他同一個用戶來的請求都發給我們固定的一個人,這才穩住了局面。
不過好景不長,后面我們三兄弟都相繼出現過宕機的情況,這時候nginx還是得把請求交給還在工作的兄弟,原來的問題就又出現了!
我們幾個逼急了,商量了一下,干脆大家伙來同步session id的信息好了,有新增、失效的情況都給其他幾個兄弟招呼一下,大家都管理一份,這樣就不會出現不一致的問題了。
搞了半天,又變成以前一個人管理所有session id的情況了,不僅如此,還要抽出時間和幾位兄弟同步,把session id搬來搬去,工作量不減反增了。
就這樣艱難的過了一段日子,大家都怨聲載道,所以有了開頭的那一番討論。
這一次,希望這位新來的叫Redis的伙伴能拯救我們。
獨立緩存——Redis
過了幾天,總算把這個叫Redis的小伙伴給盼來了!
這小子看起來特別精神,了解清楚情況后,告訴我們說:“三位老哥,以后這session id都統一存在我這里吧,你們別各自保存了,這不是各位的擅長”
“你行嗎?”,老二看着不太相信他的話,一臉不屑。
“行不行,試試不就知道了嗎?”
接下來,我們聽從了Redis的建議,不再保存這煩人的session id,全部一股腦兒交給了他,我們需要的時候再找他獲取。
你還別說,這小子個子不大,本事不小,讀寫速度都特快,讓我們頭疼的問題總算是解決了!
Token時代
幾個月后的一天···
“聽說了嗎?程序員們又要更改session id的存儲方案了”,這一天,老二神神秘秘的說到。
“不對不對,我聽到的版本是以后不用session id了,要變天了!”,老三也湊了上來。
一旁的redis老哥一聽不樂意了,“咋的?是嫌我干的不好嗎?”
我也趕緊催促,“你倆就別賣關子了,聽到了什么,快說說”
老三示意大家圍攏一些,小聲說到:“我上次聽兩個程序員在議論,不知道他們在哪里學來了一套叫JWT(JSON Web Token) 的技術,硬說讓我們來管理保存session id負擔太重了,以后不保存了!還說,還說···”
“還說啥,你倒是說啊!”
“還說,Redis也不是萬能的,也有崩潰的風險,一崩潰就全完了,所以要革新技術”,老三繼續說到。
Redis一聽更着急上火了,“我工作這么久以來,從沒有撂過挑子吧,怎么能這么說我呢?再不行我也可以像你們搞個集群嘛”
“Redis老弟你先別急。唉,老三,這不保存session id,以后怎么鑒別用戶呢?你有沒有聽到他們怎么說的?”
“聽他們說,沒有session id,但是換了一個token,用它來識別用戶”
老二一聽不以為意:“換了個名字,換湯不換葯嘛!咱們還不是要保存token,才能匹配誰是誰”
老三搖了搖頭:“不是的,這可不只是改了個名字那么簡單!這個token是由三部分構成,就像這樣:”
“你們看,第一部分是JWT的基本信息,然后把用戶的身份信息放在第二部分,接着和第一部分合在一起做一個計算,計算的時候加入了一個只有我們才知道的密鑰secretkey,計算結果作為第三部分。最后三部分拼在一起作為最終的token發送給客戶端保存着···”
還沒等老三說完,老二點出了其中的關鍵:“我知道了,后面咱們再收到這個token的時候,就可以通過同樣的算法驗證前面兩部分的結果和第三部分是不是相同,就知道這個token是不是偽造的啦!因為密鑰只有我們知道,別人沒辦法偽造出一個token的!最后確認有效之后,再取第二部分的用戶身份信息,就知道這是誰了!”
聽完他們的分析,我和Redis老兄都默默的點了點頭,“有點意思啊,這樣一來,咱們確實不用存了!不過現在咱們幾個工作配合的也挺好的,他們費這么大勁是為了什么啊?”
“我猜他們是想節約開支,把Redis老哥給裁掉!”,老二說到。
老三搖了搖頭,“依我看,八成他們是想展示技術給領導看,這不又快到職級晉升答辯了,他們想搞事情!唉,老大,這事你怎么看?”
“我啊,我···”
朋友們,你怎么看?session-cookie和JWT,你更傾向誰?
往期TOP5文章
