Spring Session解决Session共享

前言

由于HTTP协议是无状态的协议，一次浏览器和服务器的交互过程就是一次会话，对话完成后，这次会话就结束了，服务器端并不能记住这个人，下次再对话时，服务器端并不知道是上一次的这个人，所以服务端需要记录用户的状态时，就需要用某种机制来识别具体的用户，这个机制就是Session，服务端如何识别特定的客户？这个时候需要使用Cookie；每次HTTP请求的时候，客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的，第一次创建Session时，服务端会在HTTP协议中向客户端 Cookie 中记录一个Session ID，以后每次请求把这个会话ID发送到服务器，这样服务端就知道客户端是谁了；那么如果客户端的浏览器禁用了 Cookie 怎么办？ 一般这种情况下，会使用一种叫做URL重写的技术来进行session会话跟踪，即每次HTTP交互，URL后面都会被附加上一个诸如 sessionId=xxxxx 这样的参数，服务端据此来识别客户端是谁；

Session会话管理

在Web项目开发中，Session会话管理是一个很重要的部分，用于存储与记录用户的状态或相关的数据；通常情况下session交由容器（tomcat）来负责存储和管理，但是如果项目部署在多台tomcat中，则session管理存在很大的问题；1、多台tomcat之间无法共享session，比如用户在tomcat A服务器上已经登录了，但当负载均衡跳转到tomcat B时，由于tomcat B服务器并没有用户的登录信息，session就失效了，用户就退出了登录；2、一旦tomcat容器关闭或重启也会导致session会话失效；因此如果项目部署在多台tomcat中，就需要解决session共享的问题；

Session会话共享方案

第一种是使用容器扩展插件来实现，比如基于Tomcat的tomcat-redis-session-manager插件，基于Jetty的jetty-session-redis插件、memcached-session-manager插件；这个方案的好处是对项目来说是透明的，无需改动代码，但是由于过于依赖容器，一旦容器升级或者更换意味着又得重新配置；

第二种是使用Nginx负载均衡的ip_hash策略实现用户每次访问都绑定到同一台具体的后台tomcat服务器实现session总是存在；

第三种是自己写一套Session会话管理的工具类，在需要使用会话的时候都从自己的工具类中获取，而工具类后端存储可以放到Redis中，这个方案灵活性很好，但开发需要一些额外的时间。

第四种是使用框架的会话管理工具，也就是本文所使用的Spring session，这个方案既不依赖tomcat容器，又不需要改动代码，由Spring session框架为我们提供，可以说是目前非常完美的session共享解决方案；

Spring Session简介

Spring Session 是Spring家族中的一个子项目，Spring Session提供了用于管理用户会话信息的API和实现。

它把servlet容器实现的httpSession替换为spring-session，专注于解决 session管理问题，Session信息存储在Redis中，可简单快速且无缝的集成到我们的应用中；

spring session官网地址：https://spring.io/projects/spring-session

Spring Session的特性：

1、提供用户session管理的API和实现；

2、提供HttpSession，以中立的方式取代web容器的session，比如tomcat中的session；

3、支持集群的session处理，不必绑定到具体的web容器去解决集群下的session共享问题；

Spring Session示例

使用Spring session管理session，开发步骤如下：

1、添加案例所需要的maven依赖

	org.springframework.session
	spring-session
	1.3.1.RELEASE





	org.springframework.session
	spring-session-data-redis
	1.3.1.RELEASE





	org.springframework.data
	spring-data-redis
	1.8.8.RELEASE





	redis.clients
	jedis
	2.9.0





	org.springframework
	spring-web
	5.0.0.RELEASE





	javax.servlet
	javax.servlet-api
	3.1.0





	javax.servlet.jsp
	javax.servlet.jsp-api
	2.3.1





	javax.servlet
	jstl
	1.2

2、在web.xml文件文件中配置springSessionRepositoryFilter过滤器

	
		springSessionRepositoryFilter
		org.springframework.web.filter.DelegatingFilterProxy
	
	
		springSessionRepositoryFilter
		/*
	

3、在web.xml文件中加载Spring配置文件

	
		contextConfigLocation
		classpath:applicationContext.xml
	

	
	
		org.springframework.web.context.ContextLoaderListener
	

4、Spring配置文件配置一个RedisHttpSessionConfiguration类

5、Spring配置文件配置Spring-data-redis

6、redis配置文件

redis.hostName=192.168.184.133
redis.port=6379
redis.password=123456
redis.usePool=true
redis.timeout=10000

7、编写一个Servlet或JSP验证session共享问题

@WebServlet(name = "SessionServlet", urlPatterns = "/session")
public class SessionServlet extends HttpServlet {

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request,response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String sesssionID = request.getSession().getId();
        //部署两份，把这个地方8081改成8080就行了，只是为了区分
        response.getWriter().write("8081 Server SessionID"+sesssionID);
    }
}

演示案例：

1、同域名下相同项目实现Session共享

1. 在同一个域名下，比如：www.web.com
2. 同一个项目
3. 部署了多台tomcat
4. 这就是典型的集群
5. 使Nginx负载均衡，每次发请求在两个tomcat容器之间负载均衡，这也是Nginx的默认策略
6. 
7. 
8. 
9. 很显然看到的是负载均衡，然后放session，默认浏览器中没有session，会自动创键，看到8081服务器的sessionid为

   795b073c-0e27-4339-bf01-2fb7d39a3ed2f

10. 
11. 查看redis，可以看到该session信息存储到Redis里面了，Redis仅仅是一个容器，也可以使用其他容器
12. 
13. 
14. #定时Job程序触发Session 过期。(spring-session 功能)，数据类型：Set
15. Key：spring:session:expirations:XXXXX
16. # 存储 Session 数据,数据类型hash
17. Key：spring:session:sessions:XXXXXXX
18. # Redis TTL触发Session 过期。(Redis 本身功能)，数据类型：String
19. Key：spring:session:sessions:expires:XXXXX
20. 
21. 在次执行请求，负载均衡，跳转到8080服务器，8080服务器上是没有session的会新生成一个sessionid，但是这时候没有新生产成sessionid，而是在使用8081生成的sessionid，这就达成了session共享。

2、同域名下不同项目实现Session共享

1. 在同一个域名下，比如：
   1. www.web.com/jiekuan
   2. www.web.com/touzi
2. 有多个不同的项目
3. 
4. 做法：设置Cookie路径为根/上下文

3、同根域名不同二级子域名下的项目实现Session共享

1. 同一个根域名，比如：
   1. www.web.com
   2. beijing.web.com
   3. nanjing.web.com
2. 不同的二级子域名
3. 
4. 做法：
   1. 设置Cookie路径为根/上下文
   2. 设置域名为同域名 web.com

4、不同根域名下的项目实现Session共享

1. 单点登录
   1. 单点登录(Single Sign On)，简称为 SSO，是流行的企业业务整合的解决方案之一，SSO是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统；
   2. 比如阿里巴巴这样的公司，有多个业务线，多个网站，用户在一个网站登录，那么其他网站也会是登录了的状态，比如：登录了淘宝网，则天猫网也是登录的；
2. 比如：
   1. www.web.com
   2. www.myweb.com
   3. www.webtest.com
   4. ip和域名也会产生不同的sessionid
3. 对于不同根域名的场景，要实现一处登录，处处登录，Spring Session不支持