集群的session共享问题分析

session共享问题:多台Tomcat无法共享session存储空间,当请求切换到不同Tomcat服务时,原来存储在一台Tomcat服务中的数据,在其他Tomcat中是看不到的,这就导致了导致数据丢失的问题。

虽然系统为单体式的架构,但是为了将来应对并发要做水平扩展,部署多个形成负载均衡的集群。

当请求进入nignx会在多台Tomcat之间做一个轮询,每一个Tomcat都有自己的session空间,假设用户请求第一次被负载均衡到了Tomcat1,去发送验证码或者登录时所获取到的用户信息仅仅是保存到这一台Tomcat里了,当用户第二次来执行某些业务被负载均衡到了第二台Tomcat服务上,当该服务要去获取验证码或者用户信息时,而他自身的session内存空间空无一物,这时服务就会中断。

这就是session共享问题。

解决方案:

在初期,为了解决session共享问题,官方提供了session拷贝功能,多台Tomcat之间只要做好一些配置,它们之间就可以互相实现一个数据拷贝,但数据拷贝也有不小的问题,首先就是多台Tomcat保存相同的数据,浪费内存空间,其次拷贝数据是需要时间的,这就造成了时间延迟,在这个延迟之间如果有服务来访问,依旧会造成数据不一致的问题。问题太多,该方案就被pass了。

因此就必须寻找到可以替代session的方案,且必须满足:

  • 数据共享

  • 内存存储(因为session是基于内存的,读写效率较高,像登录校验这种业务访问频率较高,需要满足高并发的需求)

  • 键值对结构(session存储较为简单)

这就是Redis,首先redis是在Tomcat以外的一个存储方案,,任意一台Tomcat都能访问到Redis,所以就可以实现数据共享了,就不会出现数据丢失的情况 其次Redis就是存储在内存中的,而且性能非常强,并且redis就是键值对类型的数据库,因此我们是可以用redis来代替session。

基于Redis实现共享session登录
业务流程

如果要使用Redis来代替session,那么前面的短信登录业务也有相应的变化。

比如在发送验证码的业务流程中,需要将验证码存入redis,并且还需要考虑value是什么类型的数据结构,存入验证码时就可以直接用String类型即可。

而key类型就不能和原先一致,因为session在发送请求的时候都有一个独立的session,在Tomcat服务中维护了很多session,那么不同浏览器携带的手机号请求服务时都有着自己独立的session,这些服务都是使用code作为key,但是互相之间互不干扰。

在使用session时,不需要考虑取数据的问题,因为Tomcat会自动的帮助我们去维护session:浏览器发去请求时,Tomcat就为浏览器新建一个session,如果session存在,直接使用即可,在创建session时,就会自动创建sessionID写入到对应浏览器的cookie中,以后浏览器的每次请求就会带着cookie,带着sessionID,这样就能精确找到对应的session,也不用去考虑取的问题。

但redis是一个共享的内存空间,不管是哪个服务发请求,都是往redis的内存空间存储的,如果每个服务使用的key都是code,就会相互覆盖,就会造成数据丢失。而必须要确保每次不同服务访问的key都不同。

那既然如此,那就直接将手机号码作为每个服务的key,这样就能保证每个服务都有自己不同的key,这样的操作也有助于将来我们去获取验证码进行验证。

image-20250524144322613

现在要使用redis,没有维护,现在以手机为key存入进去,那浏览器做登录时还需要带着这个key的值来取,才可以验证。

而在等短信验证码登录注册时,需要将手机号码与验证码存入,正好可以根据手机号码去拿到value。

再去根据手机号查询用户,如果用户存在,则将用户存入redis中。

此时需要考虑两个问题,一是value的数据类型选择问题,二是考虑key的命名,

在短信登录业务存入的是Java对象,那么redis的value虽然可以使用string类型,用json字符串保存,比较直观,但是无法针对单个字段作出修改,只能修改整个字段。

这时可以使用hash类型,hash结构可以将对象中的每个字段独立存储,可以针对单个字段做修改,并且内存占用更少(Hash结构只需要保存数据本身即可,但是String类型还需要保存json字符串的格式)。

如果从优化角度来看,比较推荐Hash结构。

而key的要求也有两点:一是唯一性,二是较为便携。

这里推荐使用随机的token(随机字符串,可以使用UUID来生成)作为key存储用户数据。

而在登录校验这一业务中,以前使用session时的登录凭证就是sessionID,被存在浏览器的cookie中被一直携带,且一直被Tomcat维护。

而现在使用的redis来代替session,则我们使用的随机token则是登录凭证,也就意味着以后浏览器来访问我们需要携带token将其作为凭证。而Tomcat不会将其自动的写入浏览器中,我们需要手动的将其返回前端,那么此处流程就产生了变化。

image-20250524142713311

那当服务器拿到token之后,我们就可以基于token来从redis获取用户信息,剩下校验登录状态流程就不变

image-20250524142915111

而登录凭证是通过前端的逻辑代码进行接收并保留的,在前端使用axios的拦截器,利用拦截器将用户token放在“authorization”头,这样每一条用户请求就会携带token。如果我们使用手机号码作为key去保存,将来返回到前端直接保存在浏览器会有泄漏的风险。这就是我们key不能再次使用手机号码的原因。

代码修改

发送验证码

 @Overridepublic Result sendCode(String phone, HttpSession session) {//1.校验手机号if (RegexUtils.isPhoneInvalid(phone)) {//2.如果不符合,返回错误信息return Result.fail("手机号格式错误");}//3.如果符合,生成验证码String code = RandomUtil.randomNumbers(6);//4.保存验证码到redis 还需要给验证码设置有效时间 set key value ex 120//一般都会定义一个工具类来保存常量,避免重复及手误stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY+phone,code,LOGIN_CODE_TTL, TimeUnit.MINUTES);//5.发送验证码(模拟发送验证码,该业务并未实现)log.debug("发送短信验证码成功,验证码:{}",code);// 6.返回结果return Result.ok();}

短信验证码登录注册

 @Overridepublic Result login(LoginFormDTO loginForm, HttpSession session) {//1.校验手机号String phone = loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {//2.如果不符合,返回错误信息return Result.fail("手机号格式错误");}//2.从Redis中获取验证码并校验String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);String code = loginForm.getCode();// 一般校验时,从反向校验,这种校验不需要if嵌套,否则会嵌套if,避免if嵌套过深if (cacheCode == null || !cacheCode.equals(code)){//3.不一致,返回错误信息return Result.fail("验证码错误");}//4.一致,根据手机号查询用户 select   * from user where phone = ?User user = query().eq("phone", phone).one();//5.判断用户是否存在if (user == null){//6.不存在,创建新用户并保存// 方法定义在函数中 创建用户//在创建完用户到数据库后还需要保存在session中,所以直接赋值给useruser = createUserWithPhone(phone);}//7.保存用户信息到redis,//7.1随机生成token,作为登录令牌String token = UUID.randomUUID().toString(true);//7.2将user对象转换为hash存储UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);//7.3存储到redis中 利用工具类将userDTO转为mapstringRedisTemplate.opsForHash().putAll(LOGIN_USER_KEY+token,BeanUtil.beanToMap(userDTO));// 7.4设置token有效期stringRedisTemplate.expire(LOGIN_USER_KEY+token,LOGIN_USER_TTL,TimeUnit.MINUTES);//7.4返回token给客户端return Result.ok(token);}

问题提出:

在之前使用session时,session的有效期是30分钟,但session的有效期是指只要一直在访问session,那么session的有效期就一直是30分钟,只有超过30分钟不访问session,session才会失效。

但是redis的有效时间就是从新建到移除的时间,不在乎是否访问,这样就有弊端。

应该像session一样,只要用户在访问,就应该更新有效时间(即Redis中的token有效期),但是Redis无法得知用户有没有访问服务端,也无法得知用户何时访问服务端。

而在登录拦截校验中,我们所有的请求访问时都要经过拦截器的拦截与校验,只要经过了这个校验,就能证明该浏览器是一个正在活跃着的用户,这是我们就可以更新redis的有效期。

这样就可以做到和session一样的效果,只要有浏览器访问服务端,那么Redis就会去更新token的有效期。所以在接下来修改登录拦截校验代码时还需要添加更新token有效期的逻辑。

代码如下:

 public class LoginInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}// 前置拦截器@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取请求头中的tokenString token = request.getHeader("authorization");// 判断是否存在if (StrUtil.isBlank(token)) {response.setStatus(401);return false;}//  2.以token为key获取redis的用户Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(LOGIN_USER_KEY + token);//  3.判断用户是否存在if (userMap.isEmpty()) {//  4.不存在 拦截器拦截 返回401状态码 未授权response.setStatus(401);return false;}//5.将查询到的Hash数据转换为UserDTO对象UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);//  6.存在,保存用户信息到ThreadLocal// 在工具类中定义了一个UserHolder 是一个线程安全的ThreadLocal变量,用于保存当前线程的用户信息。// 其中有三个方法:saveUser( 保存),getUser(拿到),removeUser(移除)。UserHolder.saveUser(userDTO);//7.刷新token有效期stringRedisTemplate.expire(LOGIN_USER_KEY+token, LOGIN_USER_TTL, TimeUnit.MINUTES);//8.放行return true;}​//  拦截器 后处理@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {//  移除用户 避免用户泄漏UserHolder.removeUser();}}

修改成功,

测试结果:

报错,类强制转换异常ClassCastException,redis serializer报错 long类型不能转换成String类型,在UserServiceImpl中向redis存入用户信息时报错,userMap来自userDTO,userDTO中的id为long类型,无法存储到redis中去,因为我们使用的RedisTemplate为StringRedisTemplate,他要求key与value都必须是string类型,但userMap中的id为long类型,因此报错。

解决方案:

  • 自己在重写toMap函数,在将userDTO转换成userMap时将值的类型转换成string字符串

  • 提供的工具类有自定义的功能,如下所示

 Map<String, Object> userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fieldName,fieldValue)->fieldValue.toString()));

再次测试:

image-20250524200915128

解决状态登录刷新的问题

问题引入:

目前的短信登录拦截器无法做到只要用户一直登陆就不会过期。

因为拦截器拦截的不是一切路径,而是那些需要登录校验的路径,比如user/me,或者将来用户的下单,支付这样一些对用户信息有需求的路径,或者说被拦截器拦截的路径,但拦截器并不是拦截一切。

如果用户一直访问的是不需要登录的页面,比如首页或者商户详情页,这些不需要登录校验就可以看,这些就不会去刷新有效期,过了指定的有效期后,即使用户还在访问,但token就会被移除,问题因此出现。

解决方案:

在原有拦截器的基础上再加上一个拦截器,这样用户请求就要先经过第一个拦截器,在经过第二个,第一个拦截器拦截全部路径,所有请求都会被拦截,就可以在这个拦截器中做刷新token有效期的业务(获取token,查询Redis用户,保存到ThreadLocal中,刷新token有效期,放行),第一个拦截器不做拦截,这样就可以确保一切请求都可以触发刷新的动作,第二个拦截器只需要做拦截业务(查询ThreadLocal的用户,不存在则拦截,存在,则继续)即可

代码展示:

LoginInterceptor.java

 public class LoginInterceptor implements HandlerInterceptor {// 前置拦截器@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.判断是否需要拦截( ThreadLocal中是否有用户)if (UserHolder.getUser() == null) {//  2.没有,拦截,返回401response.setStatus(401);return false;} else {// 有用户,放行return true;}}

RefreshTokenInterceptor.java

 public class RefreshTokenInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;​public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}​// 前置拦截器@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取请求头中的tokenString token = request.getHeader("authorization");// 判断是否存在if (StrUtil.isBlank(token)) {return true;}//  2.以token为key获取redis的用户Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(LOGIN_USER_KEY + token);//  3.判断用户是否存在if (userMap.isEmpty()) {//  4.不存在 拦截器拦截 返回401状态码 未授权return true;}//5.将查询到的Hash数据转换为UserDTO对象UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);//  6.存在,保存用户信息到ThreadLocal// 在工具类中定义了一个UserHolder 是一个线程安全的ThreadLocal变量,用于保存当前线程的用户信息。// 其中有三个方法:saveUser( 保存),getUser(拿到),removeUser(移除)。UserHolder.saveUser(userDTO);//7.刷新token有效期stringRedisTemplate.expire(LOGIN_USER_KEY + token, LOGIN_USER_TTL, TimeUnit.SECONDS);//8.放行return true;}​//  拦截器 后处理@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {//  移除用户 避免用户泄漏UserHolder.removeUser();}}

装配拦截器:

 
@Configurationpublic class MvcConfig implements WebMvcConfigurer {@Resourceprivate StringRedisTemplate stringRedisTemplate;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//  登录拦截器registry.addInterceptor(new LoginInterceptor())//  除了这些路径,其他路径都进行拦截.excludePathPatterns("/user/code","/user/login","/blog/hot","/voucher/**","/shop/**","/shop-type/**","/upload/**","/blog/query/hot","/druid/**").order(1);// token刷新拦截器registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);}}

如何控制拦截器的前后顺序:在源码中order的值越大,优先级越低,值越小,优先级越高。

测试成功,无论访问哪个页面,都会刷新token的有效期。

至此,基于Redis实现共享session登录的业务完成。

总结:基于Redis改造短信登录,改造的点如下:

  • 发送短信验证码时将验证码存入redis中,key使用的是手机号码,value的类型为String

  • 短信登录时保存用户到Redis,key要保证唯一以及便携,因此将key设为了UUID,放在了前端的请求头中,返回给了用户,保存到浏览器中,这样一来浏览器可以携带token来访问服务端,从而实现登陆的效果。

注意事项:

  • 在使用redis存储数据的时候,key的规范非常重要。还有数据类型的选择,code选择String类型,而用户选择了Hash类型。

  • 我们在存储数据的过程中,要记得设置存储有效期。

  • 要选择合适的存储粒度,我们并没有存储完整的用户信息,而是将一些敏感信息给去掉了,只保存一些不太敏感、页面需要的数据,这样还可以节省内存空间

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/bicheng/82396.shtml
繁体地址,请注明出处:http://hk.pswp.cn/bicheng/82396.shtml
英文地址,请注明出处:http://en.pswp.cn/bicheng/82396.shtml

如若内容造成侵权/违法违规/事实不符,请联系英文站点网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SkyWalking启动失败:OpenSearch分片数量达到上限的完美解决方案

🚨 问题现象 SkyWalking OAP服务启动时报错: org.apache.skywalking.oap.server.library.module.ModuleStartException: java.lang.RuntimeException: {"error":{"root_cause":[{"type":"validation_exception", "reason&q…

向量数据库选型实战指南:Milvus架构深度解析与技术对比

导读&#xff1a;随着大语言模型和AI应用的快速普及&#xff0c;传统数据库在处理高维向量数据时面临的性能瓶颈日益凸显。当文档经过嵌入模型处理生成768到1536维的向量后&#xff0c;传统B-Tree索引的检索效率会出现显著下降&#xff0c;而现代应用对毫秒级响应的严苛要求使得…

MySQL#秘籍#一条SQL语句执行时间以及资源分析

背景 一条 SQL 语句的执行完&#xff0c;每个模块耗时&#xff0c;不同资源(CPU/IO/IPC/SWAP)消耗情况我该如何知道呢&#xff1f;别慌俺有 - MySQL profiling 1. SQL语句执行前 - 开启profiling -- profiling (0-关闭 1-开启) -- 或者&#xff1a;show variables like prof…

【数据结构】实现方式、应用场景与优缺点的系统总结

以下是编程中常见的数据结构及其实现方式、应用场景与优缺点的系统总结&#xff1a; 一、线性数据结构 1. 数组 (Array) 定义&#xff1a;连续内存空间存储相同类型元素。实现方式&#xff1a;int[] arr new int[10]; // Javaarr [0] * 10 # Python操作&#xff1a; 访问&…

PyTorch中cdist和sum函数使用示例详解

以下是PyTorch中cdist与sum函数的联合使用详解: 1. cdist函数解析 功能:计算两个张量间的成对距离矩阵 输入格式: X1:形状为(B, P, M)的张量X2:形状为(B, R, M)的张量p:距离类型(默认2表示欧式距离)输出:形状为(B, P, R)的距离矩阵,其中元素 d i j d_{ij} dij​表示…

Ansible配置文件常用选项详解

Ansible 的配置文件采用 INI 格式&#xff0c;分为多个模块&#xff0c;每个模块包含特定功能的配置参数。 以下是ansible.cfg配置文件中对各部分的详细解析&#xff1a; [defaults]&#xff08;全局默认配置&#xff09; inventory 指定主机清单文件路径&#xff0c;默认值为 …

了解FTP搜索引擎

根据资料&#xff0c; FTP搜索引擎是专门搜集匿名FTP服务器提供的目录列表&#xff0c;并向用户提供文件信息的网站&#xff1b; FTP搜索引擎专门针对FTP服务器上的文件进行搜索&#xff1b; 就是它的搜索结果是一些FTP资源&#xff1b; 知名的FTP搜索引擎如下&#xff0c; …

【大模型面试每日一题】Day 28:AdamW 相比 Adam 的核心改进是什么?

【大模型面试每日一题】Day 28&#xff1a;AdamW 相比 Adam 的核心改进是什么&#xff1f; &#x1f4cc; 题目重现 &#x1f31f;&#x1f31f; 面试官&#xff1a;AdamW 相比 Adam 的核心改进是什么&#xff1f; #mermaid-svg-BJoVHwvOm7TY1VkZ {font-family:"trebuch…

C++系统IO

C系统IO 头文件的使用 1.使用系统IO必须包含相应的头文件&#xff0c;通常使用#include预处理指令。 2.头文件中包含了若干变量的声明&#xff0c;用于实现系统IO。 3.头文件的引用方式有双引号和尖括号两种&#xff0c;区别在于查找路径的不同。 4.C标准库提供的头文件通常没…

多模态理解大模型高性能优化丨前沿多模态模型开发与应用实战第七期

一、引言 在前序课程中&#xff0c;我们系统剖析了多模态理解大模型&#xff08;Qwen2.5-VL、DeepSeek-VL2&#xff09;的架构设计。鉴于此类模型训练需消耗千卡级算力与TB级数据&#xff0c;实际应用中绝大多数的用户场景均围绕推理部署展开&#xff0c;模型推理的效率影响着…

各个网络协议的依赖关系

网络协议的依赖关系 学习网络协议之间的依赖关系具有多方面重要作用&#xff0c;具体如下&#xff1a; 帮助理解网络工作原理 - 整体流程明晰&#xff1a;网络协议分层且相互依赖&#xff0c;如TCP/IP协议族&#xff0c;应用层协议依赖传输层的TCP或UDP协议来传输数据&#…

11.8 LangGraph生产级AI Agent开发:从节点定义到高并发架构的终极指南

使用 LangGraph 构建生产级 AI Agent:LangGraph 节点与边的实现 关键词:LangGraph 节点定义, 条件边实现, 状态管理, 多会话控制, 生产级 Agent 架构 1. LangGraph 核心设计解析 LangGraph 通过图结构抽象复杂 AI 工作流,其核心要素构成如下表所示: 组件作用描述代码对应…

相机--基础

在机器人开发领域&#xff0c;相机种类很多&#xff0c;作为一个机器人领域的开发人员&#xff0c;我们需要清楚几个问题&#xff1a; 1&#xff0c;相机的种类有哪些&#xff1f; 2&#xff0c;各种相机的功能&#xff0c;使用场景&#xff1f; 3&#xff0c;需要使用的相机…

【备忘】 windows 11安装 AdGuardHome,实现开机自启,使用 DoH

windows 11安装 AdGuardHome&#xff0c;实现开机自启&#xff0c;使用 DoH 下载 AdGuardHome解压 AdGuardHome启动 AdGuard Home设置 AdGuardHome设置开机自启安装 NSSM设置开机自启重启电脑后我们可以访问 **http://127.0.0.1/** 设置使用 AdGuardHome DNS 效果图 下载 AdGua…

安装部署配置jenkins

随着现代软件开发流程的不断演进,持续集成(CI)和持续交付(CD)已经成为了开发团队必不可少的工具。而Jenkins作为最为广泛应用的CI/CD工具,能够自动化执行构建、测试、部署等任务。Maven作为Java生态中广泛使用的构建工具,它能够帮助开发人员自动化管理项目的构建、依赖和…

How to balance work and personal life?

How to balance work and personal life? 1. Background2. How to balance work and personal life?References 1. Background Let me introduce /ˌɪntrəˈdjuːs/ the background /ˈbkɡraʊnd/ first. Today we will talk about this topic: How to balance work and …

存储引擎系列--LSM的Compaction研究方法论

本文主要包含以下内容: 1、Compaction 设计空间的四个原语:触发器、数据布局、压缩粒度、数据移动策略。任何已有的compaction策略和新的策略都可以由这个四个原语组建构成。 2、详细介绍这四个原语的定义,策略方法 3、现有的基于LSM的知名系统的compaction策略按照四个原语…

关系数据库基础入门

关系数据库概述 相关名词 1、关系&#xff1a;在关系数据库中&#xff0c;实体以及实体间的联系都是用关系来表示的。类似于程序设计语言中变量的概念。 2、关系模式&#xff1a;是对关系的描述。类似于程序设计语言中类型定义的概念。 3、关系模型&#xff1a;是由若干个关系…

图解BERT

图解 Bert 大家可以访问 图解Bert 获取更加优质的阅读体验。 图解BERT一文还在持续更新中。 环境搭建 按序执行以下命令完成环境搭建: git clone https://github.com/DA-southampton/Read_Bert_Code.git cd Read_Bert_Code conda create -n Read_Bert_Code python3.9.22 co…

【HarmonyOS 5】鸿蒙中的UIAbility详解(一)

【HarmonyOS 5】鸿蒙中的UIAbility详解&#xff08;一&#xff09; 一、UIAbility是什么&#xff1f; Stage模型中的组件类型名&#xff0c;即UIAbility组件&#xff0c;包含UI&#xff0c;提供展示UI的能力&#xff0c;主要用于和用户交互。 UIAbility类似于传统移动开发An…