分布式 session

分布式系统中，登录的 session 信息一般都是存放在 redis 中的。

本文记录一下 spring-boot 整合 redis 实现分布式 session 登录验证。

快速开始

准备工作

本地启动 redis 服务

[21496] 15 Sep 09:24:37.508 # oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo[21496] 15 Sep 09:24:37.510 # Redis version=5.0.9, bits=64, commit=9414ab9b, modified=0, pid=21496, just started[21496] 15 Sep 09:24:37.510 # Configuration loaded[21496] 15 Sep 09:24:37.513 # Could not create server TCP listening socket 127.0.0.1:6379: bind: 操作成功完成。

• 进入客户端

$ redis-cli.exe127.0.0.1:6379>

此时保证 redis 中数据是空的，或者没有干扰数据：

127.0.0.1:6379> keys *(empty list or set)

基本代码

pom.xml

            org.springframework.session        spring-session                org.springframework.boot        spring-boot-starter-web                org.springframework.boot        spring-boot-starter-data-redis                            org.springframework.boot            spring-boot-maven-plugin            

目录结构

D:.├─java│  └─com│      └─github│          └─houbb│              └─spring│                  └─boot│                      └─session│                          │  Application.java│                          ││                          ├─config│                          │      HttpSessionConfig.java│                          ││                          └─controller│                                  ExampleController.java│└─resources        application.properties

后端代码

• 启动 session

@EnableRedisHttpSessionpublic class HttpSessionConfig {}

• Controller 示例代码

@RestControllerpublic class ExampleController {    @RequestMapping("/set")    public String set(HttpServletRequest req) {        req.getSession().setAttribute("testKey", "testValue");        return "设置session:testKey=testValue";    }    @RequestMapping("/query")    public String query(HttpServletRequest req) {        Object value = req.getSession().getAttribute("testKey");        return "查询Session："testKey"=" + value;    }}

配置文件

主要指定 redis 的配置信息。此处为本地 redis。

spring.redis.host=127.0.0.1spring.redis.password=spring.redis.port=6379

启动测试

设置

浏览器访问 http://localhost:8080/set

页面返回：

设置session:testKey=testValue

查询

浏览器访问 http://localhost:8080/query

页面返回：

查询Session："testKey"=testValue

信息的存储

我们看一下 Redis 中的存储信息

127.0.0.1:6379> keys *1) "spring:session:sessions:d37d1c0a-5c4a-4c60-906b-7657be1e6bc7"2) "spring:session:expirations:1600135380000"3) "spring:session:sessions:expires:d37d1c0a-5c4a-4c60-906b-7657be1e6bc7"

这是 spring-session 为我们创建的 3 个 key

我们也可以看一下对应的值

• spring:session:sessions:d37d1c0a-5c4a-4c60-906b-7657be1e6bc7

127.0.0.1:6379> hgetall spring:session:sessions:d37d1c0a-5c4a-4c60-906b-7657be1e6bc71) "lastAccessedTime"2) "xacxedx00x05srx00x0ejava.lang.Long;x8bxe4x90xccx8f#xdfx02x00x01Jx00x05valuexrx00x10java.lang.Numberx86xacx95x1dx0bx94xe0x8bx02x00x00xpx00x00x01tx8fd_xef"3) "maxInactiveInterval"4) "xacxedx00x05srx00x11java.lang.Integerx12xe2xa0xa4xf7x81x878x02x00x01Ix00x05valuexrx00x10java.lang.Numberx86xacx95x1dx0bx94xe0x8bx02x00x00xpx00x00ab"5) "sessionAttr:testKey"6) "xacxedx00x05tx00testValue"7) "creationTime"8) "xacxedx00x05srx00x0ejava.lang.Long;x8bxe4x90xccx8f#xdfx02x00x01Jx00x05valuexrx00x10java.lang.Numberx86xacx95x1dx0bx94xe0x8bx02x00x00xpx00x00x01tx8fd_xef"

• spring:session:expirations:1600135380000

127.0.0.1:6379> smembers spring:session:expirations:16001353800001) "xacxedx00x05tx00,expires:d37d1c0a-5c4a-4c60-906b-7657be1e6bc7"

• spring:session:sessions:expires:d37d1c0a-5c4a-4c60-906b-7657be1e6bc7

127.0.0.1:6379> get spring:session:sessions:expires:d37d1c0a-5c4a-4c60-906b-7657be1e6bc7""

基于拦截器的处理

实际开发过程中，我们肯定不希望每一次请求都自己去实现 session 的校验，查询等处理。

关于这一点，可以直接交给 mvc 的拦截器实现。

核心代码

实际上就是一个 servlet 的拦截器，每次请求获取对应的 session 信息。

这个可以基于 cookies/session/token 等等。

import org.springframework.util.StringUtils;import org.springframework.web.servlet.HandlerInterceptor;import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;/** * @author binbin.hou * @since 1.0.0 */public class SessionInterceptor implements HandlerInterceptor {    @Override    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {        String token = httpServletRequest.getParameter("token");        String roleInfo = mockTokenResp(token);        if(StringUtils.isEmpty(roleInfo)) {            // 登录信息非法，跳转到登录页面等操作            return false;        }        // 根据信息设置等操作        return true;    }    /**     * 根据 token 去 redis 等取 session 信息，此处直接 mock 掉     * @param token 请求参数，可以是 sessionId, JWT 等     * @return 结果     */    private String mockTokenResp(String token) {        if("ryo".equals(token)) {            return "admin";        }        return "";    }    @Override    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {    }    @Override    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {    }}

小结

session 是 web 登录中必备的功能，redis 存放 session 是分布式系统中比较成熟的方案。

当然也并不是唯一的解决方案，使用 jwt 也可以达到类似的效果，不过二者各有优缺点，个人更加倾向于使用 redis 存储分布式 session。

后续有机会打开一篇讲解下 jwt 如何实现分布式系统的登录验证。

本实战系列用于记录 springboot 的实际使用和学习笔记。

希望本文对你有所帮助，如果喜欢，欢迎点赞收藏转发一波。

我是老马，期待与你的下次相遇。