SpringSession原理

最新推荐文章于 2022-08-10 09:18:32 发布
原创 最新推荐文章于 2022-08-10 09:18:32 发布 · 780 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

SpringSession是解决分布式环境下session共享问题的一种方案,它利用Redis作为存储后端。当服务器返回登录成功后的sessionId,浏览器携带此Cookie进行后续请求,服务器通过sessionId获取session信息。在分布式场景下,session复制会带来网络带宽占用和内存浪费问题,而客户端存储又受限于cookie长度和安全性。SpringSession通过装饰模式,创建SessionRepositoryFilter包装request和response,实现了对session的管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Session原理

  • 浏览器第一次访问服务器,登录成功后服务器会保存一个session对象(可看成map对象),session对象里以键值对的方式保存了用户的登录信息,并且每一个session对象都会对应一个独特的sessionId
  • 登录成功后服务器会返回一个JsessionId=xxx的Cookie给浏览器,浏览器下次访问时带上这个cookie,服务器就可以根据sessionid判断用户有没有登录。

session共享问题

  • 服务器发回来的cookie默认作用域domain是本服务器域名,例如让认证服务器返回的是auth.gulimall.com,而cookie作用域不同是不能共享的,也就是说auth.gulimall.com的作用域不能作用于gulimall.com。

  • 分布式下session共享问题,对于集群里的服务器(服务有多个相同的),有以下几种解决方案:

  • 使用springSession解决(底层使用redis)(推荐使用) ,对于不同服务下不用域名的问题,使用自定义cookie的作用域domain解决。

  • session复制,让集群中的服务器互相同步session
    优点:web-server(tomcat)原生支持,只需要修改tomcat配置文件即可
    缺点:1. session同步需要传输数据,占用集群之间的网络带宽
    2.任意一台服务器都需要保存所有服务器的session数据,如果session数据量大的话会导致内存浪费严重,内存限制。
    3.客户端存储,把数据存储在浏览器中的cookie里。
    优点:1. 服务器不需要保存session,节省服务器资源
    缺点:1.不安全,存在泄漏、篡改、窃取等安全问题
    2. 浏览器cookie长度有限制,一般为4k,不同浏览器限制不同,如果session数据过大,浏览器会保存不了

SpringSession原理:

     首先导入 RedisHttpSessionConfiguration 配置类,这个类在容器中添加了 RedisIndexedSessionRepository 组件,	这个组件就是用来存让装饰后的session的bean,相当于是redis操作session的dao[增删改查],同时它又继承了 SpringHttpSessionConfiguration 配置类, 这个类对包装后的Cookie进行了初始化.当服务启动的时候 这个类会自动注入	SessionRepository [我们自己写的配置文件就实现了这个接口]这个组件又在容器中注册了一个springSessionRepositoryFilter 过滤器	;这个过滤器将原生的request、response、session包装成 SessionRepositoryRequestWrapper,以后对session的操作都将在redis进行了

源码一步步分析:

  • @EnableRedi
  • @Retention(RetentionPolicy.RUNTIME)
    @Target(ElementType.TYPE)
    @Documented
    @Import(RedisHttpSessionConfiguration.class)
    @Configuration(proxyBeanMethods = false)
    public @interface EnableRedisHttpSession
RedisHttpSessionConfiguration extends SpringHttpSessionConfiguration

这个类是用来配置redis作为存储的分布式session配置类,类似的还有RedissonHttpSessionConfiguration用来做分布式锁

@Bean
	public RedisIndexedSessionRepository sessionRepository

这个配置类向容器中加入了一个RedisIndexedSessionRepository
,这个组件的作用是存储“装饰后的”RedisSessionRepository,相当于操作redis的session dao接口。

  • 同时还继承了SpringHttpSessionConfiguration
  • SpringHttpSessionConfiguration会初始化一个cookie序列化器,这为我们配置自定义cookie做了一个铺垫
@PostConstruct
	public void init() {
		CookieSerializer cookieSerializer = (this.cookieSerializer != null) ? this.cookieSerializer
				: createDefaultCookieSerializer();
		this.defaultHttpSessionIdResolver.setCookieSerializer(cookieSerializer);
	}
  • 还向容器中注入了一个SessionRepositoryFilter,相当于注入了一个filter
@Bean
	public <S extends Session> SessionRepositoryFilter<? extends Session> springSessionRepositoryFilter(
			SessionRepository<S> sessionRepository) {
		SessionRepositoryFilter<S> sessionRepositoryFilter = new SessionRepositoryFilter<>(sessionRepository);
		sessionRepositoryFilter.setHttpSessionIdResolver(this.httpSessionIdResolver);
		return sessionRepositoryFilter;
	}

	里面有个方法覆盖了父类filter的doFilterInternal
		@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		request.setAttribute(SESSION_REPOSITORY_ATTR, this.sessionRepository);

		SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(request, response);
		SessionRepositoryResponseWrapper wrappedResponse = new SessionRepositoryResponseWrapper(wrappedRequest,
				response);

		try {
			filterChain.doFilter(wrappedRequest, wrappedResponse);
		}
		finally {
			wrappedRequest.commitSession();
		}
	}
	而父类作为一个filter在调用dofilter的时候调用了这个doFilterInternal方法
	@Override
	public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		if (!(request instanceof HttpServletRequest) || !(response instanceof HttpServletResponse)) {
			throw new ServletException("OncePerRequestFilter just supports HTTP requests");
		}
		HttpServletRequest httpRequest = (HttpServletRequest) request;
		HttpServletResponse httpResponse = (HttpServletResponse) response;
		String alreadyFilteredAttributeName = this.alreadyFilteredAttributeName;
		boolean hasAlreadyFilteredAttribute = request.getAttribute(alreadyFilteredAttributeName) != null;

		if (hasAlreadyFilteredAttribute) {
			if (DispatcherType.ERROR.equals(request.getDispatcherType())) {
				doFilterNestedErrorDispatch(httpRequest, httpResponse, filterChain);
				return;
			}
			// Proceed without invoking this filter...
			filterChain.doFilter(request, response);
		}
		else {
			// Do invoke this filter...
			request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);
			try {
				doFilterInternal(httpRequest, httpResponse, filterChain);
			}
			finally {
				// Remove the "already filtered" request attribute for this request.
				request.removeAttribute(alreadyFilteredAttributeName);
			}
		}
	}

这相当于将request、response等封装为装饰过后的SessionRepositoryRequestWrapper、SessionRepositoryResponseWrapper对象,filter过了之后将包装后的request,response对象传给controller层。
在Controller中想要后的session对象会通过request.getSesison()方法,而这个request对象是包装过后的,之后看看包装后的对象是怎么实现的。

@Override
		public HttpSessionWrapper getSession(boolean create) {
			HttpSessionWrapper currentSession = getCurrentSession();
			if (currentSession != null) {
				return currentSession;
			}
			S requestedSession = getRequestedSession();
			if (requestedSession != null) {
				if (getAttribute(INVALID_SESSION_ID_ATTR) == null) {
					requestedSession.setLastAccessedTime(Instant.now());
					this.requestedSessionIdValid = true;
					currentSession = new HttpSessionWrapper(requestedSession, getServletContext());
					currentSession.markNotNew();
					setCurrentSession(currentSession);
					return currentSession;
				}
			}
			else {
				// This is an invalid session id. No need to ask again if
				// request.getSession is invoked for the duration of this request
				if (SESSION_LOGGER.isDebugEnabled()) {
					SESSION_LOGGER.debug(
							"No session found by id: Caching result for getSession(false) for this HttpServletRequest.");
				}
				setAttribute(INVALID_SESSION_ID_ATTR, "true");
			}
			if (!create) {
				return null;
			}
			if (SESSION_LOGGER.isDebugEnabled()) {
				SESSION_LOGGER.debug(
						"A new session was created. To help you troubleshoot where the session was created we provided a StackTrace (this is not an error). You can prevent this from appearing by disabling DEBUG logging for "
								+ SESSION_LOGGER_NAME,
						new RuntimeException("For debugging purposes only (not an error)"));
			}
			S session = SessionRepositoryFilter.this.sessionRepository.createSession();
			session.setLastAccessedTime(Instant.now());
			currentSession = new HttpSessionWrapper(session, getServletContext());
			setCurrentSession(currentSession);
			return currentSession;
		}
注意getRequestedSession方法()获取session对象
private S getRequestedSession() {
			if (!this.requestedSessionCached) {
				List<String> sessionIds = SessionRepositoryFilter.this.httpSessionIdResolver.resolveSessionIds(this);
				for (String sessionId : sessionIds) {
					if (this.requestedSessionId == null) {
						this.requestedSessionId = sessionId;
					}
					S session = SessionRepositoryFilter.this.sessionRepository.findById(sessionId);
					if (session != null) {
						this.requestedSession = session;
						this.requestedSessionId = sessionId;
						break;
					}
				}
				this.requestedSessionCached = true;
			}
			return this.requestedSession;
		}
		之后看sessionRepository.findById(),这里通过调用前面注入的RedisIndexedSessionRepository的findById方法获得session
		@Override
	public RedisSession findById(String id) {
		return getSession(id, false);
	}
	
	private RedisSession getSession(String id, boolean allowExpired) {
		Map<Object, Object> entries = getSessionBoundHashOperations(id).entries();
		if (entries.isEmpty()) {
			return null;
		}
		MapSession loaded = loadSession(id, entries);
		if (!allowExpired && loaded.isExpired()) {
			return null;
		}
		RedisSession result = new RedisSession(loaded, false);
		result.originalLastAccessTime = loaded.getLastAccessedTime();
		return result;
	}
	之后调用loadSession方法
	private MapSession loadSession(String id, Map<Object, Object> entries) {
		MapSession loaded = new MapSession(id);
		for (Map.Entry<Object, Object> entry : entries.entrySet()) {
			String key = (String) entry.getKey();
			if (RedisSessionMapper.CREATION_TIME_KEY.equals(key)) {
				loaded.setCreationTime(Instant.ofEpochMilli((long) entry.getValue()));
			}
			else if (RedisSessionMapper.MAX_INACTIVE_INTERVAL_KEY.equals(key)) {
				loaded.setMaxInactiveInterval(Duration.ofSeconds((int) entry.getValue()));
			}
			else if (RedisSessionMapper.LAST_ACCESSED_TIME_KEY.equals(key)) {
				loaded.setLastAccessedTime(Instant.ofEpochMilli((long) entry.getValue()));
			}
			else if (key.startsWith(RedisSessionMapper.ATTRIBUTE_PREFIX)) {
				loaded.setAttribute(key.substring(RedisSessionMapper.ATTRIBUTE_PREFIX.length()), entry.getValue());
			}
		}
		return loaded;
	}
	最后返回一个map对象,里面存的数据就是redis保存的session数据。

总结:SpringSession的核心是装饰模式,通过包装一个新的request,response对象去进去操作。

public class SessionRepositoryFilter<S extends Session> extends OncePerRequestFilter

abstract class OncePerRequestFilter implements Filter
Spring-Session实现session共享原理及解析
Along1325的博客
02-25 1万+
Spring-Session的实现就是设计一个过滤器Filter,当Web服务器接收到http请求后,当请求进入对应的Filter进行过滤,利用HttpServletRequestWrapper,实现自己的 getSession()方法,接管创建和管理Session数据的工作。将原本需要由web服务器创建会话的过程转交给Spring-Session进行创建,本来创建的会话保存在Web服务器内存中,通过Spring-Session创建的会话信息可以保存第三方的服务中,如:redis,mysql等。Web服务器
SpringSession - 分布式Session解决方案及SpringSession基本使用
江南烟雨却痴缠丶
06-20 1806
分布式Session的几种解决方案 1、Session复制 Tomcat服务器互相同步session。 优点: web-server (Tomcat) 原生支持,只需要修改配置文件 缺点: 1、session同步需要数据传输,占用大量网络带宽,降低了服务器群的业务处理能力 2、任意一台web-server保存的数据都是所有web-server的sesdion总和,受到内存限制无法水平扩展更多的web-server 3、大型分布式集群情况下,由于所有web-server都全量保存数据,所以此方案不可取。 2
spring-session简介及实现原理源码分析
08-28
主要介绍了spring-session简介及实现原理源码分析,具有一定参考价值,需要的朋友可以了解下。
Spring Session工作原理
weixin_30846599的博客
07-30 440
本文首发于 vivo互联网技术 微信公众号 mp.weixin.qq.com/s/KCOFv0nRu…作者:张正林HTTP协议本身是无状态的,为了保存会话信息,浏览器Cookie通过SessionID标识会话请求,服务器以SessionID为key来存储会话信息。在单实例应用中,可以考虑应用进程自身存储,随着应用体量的增长,需要横向扩容,多实例session共享问题随之而来。Spring Sess...
spring-session原理
dayu_cheng_chuan的博客
07-22 2959
转载地址:https://www.cnblogs.com/lxyit/p/9672097.html 前言 在开始spring-session揭秘之前,先做下热脑(活动活动脑子)运动。主要从以下三个方面进行热脑: 为什么要spring-session 比较traditional-session方案和spring-session方案 JSR340规范与spring-session的透明继承 一.为什么要spring-session 在传统单机web应用中,一般使用tomcat/jetty等web容器时,用户的
Spring Session原理
StackOverFLow
04-04 786
Spring Session的架构 当实现session管理器的时候,有两个必须要解决的核心问题。首先,如何创建集群环境下高可用的session,要求能够可靠并高效地存储数据。其次,不管请求是HTTP、WebSocket、AMQP还是其他的协议,对于传入的请求该如何确定该用哪个session实例。实质上,关键问题在于:在发起请求的协议上,session id该如何进行传输? Sprin
SpringSession原理解析
weixin_34392435的博客
01-26 139
SpringBoot应用系列文章 SpringBoot应用之配置中心 SpringBoot应用之分布式会话 序 为承接SpringBoot应用之分布式会话这篇,本文主要解析一下SpringSession原理。 Session解决方案 session复制 session粘合 集群session 扩展指定server利用Servl...
SpringMVC整合SpringSession 实现sessiong
08-27
SpringSession的工作原理是通过对servlet带的session进行封装,接管session,实现session共享。在Nginx下的tomcat集群中,也可以使用SpringSession实现session共享。 实现session共享的优点 使用SpringSession实现...
spring-session:spring session+redis实现分布式缓存
05-26
**Spring Session的核心概念与工作原理** 1. **SessionRepository**: Spring Session提供了一个接口`SessionRepository<Session>`,用于存储和检索session数据。你可以自定义实现这个接口,但通常我们会选择使用...
spring-session的原理
qq_28908085的博客
08-16 555
最近sprigboot项目中,用spring-session,spring-session-data-redis插件来实现分布式session,对于redis的存储有点摸不着头脑,找了半天才解开了心中的疑惑,做个记录。 当创建一个RedisSession,然后存储在Redis中时,RedisSession的存储细节如下: spring:session:sessions:33fdd1b6-b496-4b33-9f7d-df96679d32fe spring:session:sessions:expires:
Spring-Session实现原理
阿甘兄
03-16 584
参考博客:《Spring-Session实现Session共享实现原理以及源码解析》
Spring Session 原理
BoomMan
04-20 879
Spring Session对HTTP的支持是通过标准的servlet filter来实现的,这个filter必须要配置为拦截所有的web应用请求,并且它应该是filter链中的第一个filter。Spring Session filter会确保随后调用javax.servlet.http.HttpServletRequest的getSession()方法时,都会返回Spring Session的...
springsession原理_Spring Session工作原理
weixin_26800111的博客
01-25 668
HTTP协议本身是无状态的,为了保存会话信息,浏览器Cookie通过SessionID标识会话请求,服务器以SessionID为key来存储会话信息。在单实例应用中,可以考虑应用进程自身存储,随着应用体量的增长,需要横向扩容,多实例session共享问题随之而来。Spring Session就是为了解决多进程session共享的问题,本文将介绍怎么使用Spring Session,以及Spring...
SpringSession核心原理
m0_56466015的博客
08-10 847
@EnableRedisHttpSession 导入了一个RedisHttpSessionConfiguration.class配置, 这个配置首先首先添加了一个组件RedisOperationsSessionRepository,一般Repository都是在持久层的所以相当于redis操作session的dao其内部所有的方法都是增删改查的:同时还继承了一SpringHttpSessionConfiguration,主要是初始化等SessionRepositoryFilter,负责....
SpringSession原理(手撕源码)
qq_49896962的博客
02-09 814
SpringSession原理(手撕源码)
spring session 原理
eric1984的专栏
01-26 271
apSession 4、web socket的支持 5、DefaultCookieSerializer 通过cookie来传输sessionid 6、HttpSessionAdapter 修改了标准servlet的HttpSession spring-session-data-redis:redis做后端存储 核心类是RedisOperationsSessionRepository   使用header传递session:  @Bean     public HeaderHttpSessi
spring-session 原理及源码解析
top_explore的博客
04-01 2649
1 什么是spring-session? spring-session是spring大家庭下的一个子项目,她的出现是为了集中管理session会话,解决多应用环境下的session共享问题,虽然她是spring框架下的子项目,但是spring-session不依赖于spring框架,可以将spring-session用于其他框架下提供session管理能力。 2 为什么会出现session共享...
spring redis session底层原理
最新发布
02-28
### Spring与Redis结合实现Session管理的工作原理 在Spring应用中集成Redis作为会话存储解决方案时,`spring-session-data-redis`模块起到了桥梁的作用。通过引入此依赖项并配置相应的设置,应用程序能够利用Redis来持久化HTTP会话数据。 #### RedisHttpSessionConfiguration类的角色 当开发者在项目里添加了`@EnableRedisHttpSession`注解之后,实际上触发了一系列自动配置逻辑,其中最重要的是激活了`RedisHttpSessionConfiguration`类[^3]。该组件负责创建必要的Bean实例用于支持基于Redis的会话处理流程: - **RedisTemplate**: 提供了一种灵活的方式来操作Redis数据库中的键值对。 - **SessionRepositoryFilter**: 这是一个过滤器,在每次请求到达之前都会被调用,用来读取或写回用户的会话信息到Redis服务器上。 ```java @Bean public LettuceConnectionFactory connectionFactory() { return new LettuceConnectionFactory(); } @Bean public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory factory) { final RedisTemplate<Object, Object> template = new RedisTemplate<>(); template.setKeySerializer(new StringRedisSerializer()); template.setValueSerializer(new JdkSerializationRedisSerializer()); template.setHashValueSerializer(template.getValueSerializer()); template.setConnectionFactory(factory); return template; } ``` 上述代码片段展示了如何定义一个连接池工厂bean以及定制化的`RedisTemplate`对象,后者对于序列化/反序列化存放在Redis里的Java对象至关重要。 #### SessionRepository接口的功能描述 在整个架构设计里面,还有一个非常重要的抽象层——即`SessionRepository<T extends ExpiringSession>`接口。它规定了一些基本方法签名以便于具体子类去实现针对不同类型的分布式缓存系统的交互行为。比如保存新的session记录、查找指定id对应的session实体等操作都可以在这个层次得到统一规范[^1]。 ```java public interface SessionRepository<S extends ExpiringSession> { S createSession(); void save(S session); S findById(String id); void deleteById(String id); } ``` 借助这些APIs的支持,开发人员可以更加方便快捷地完成跨多个节点之间的共享状态同步任务而无需关心底层细节。 #### 序列化机制的重要性 值得注意的是,在将复杂的业务对象放入Redis之前通常还需要经历一次转换过程—也就是所谓的“序列化”。默认情况下,Spring Session会选择采用标准JDK所提供的工具来进行这项工作;不过为了提高性能表现或者满足特定需求,则允许替换为其他更高效的方案(如JSON格式)。这一步骤确保即使是在网络传输过程中也能保持原始结构不变从而便于后续恢复使用[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值