前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Spring Session 的原理

Spring Session 的原理

原创
作者头像
tuhooo
修改2022-07-20 08:56:46
2870
修改2022-07-20 08:56:46
举报
文章被收录于专栏:乐乐乐乐

原文地址: Spring Session 的原理

欢迎访问我的博客: https://blog.duhbb.com

引言

今天在写一个对外接口, 这个接口大致原理是在过滤器中通过 token 获取用户信息然后创建 session, 后续的流程就是 Controller -> Service -> Dao 了.

这次开发没有像之前那样愣头愣脑的, 我想了一下, 对方调用的时候是没有 session id 的, 也就是每次认证之后都会创建一个 session. 那这就可能存在一个大问题了, 假设调用次数非常多的话, 会创建茫茫多的 session, 可能会击垮系统.

所以我的看下我们系统中是如何使用 session 的.

Spring Session 探索

代码跟踪

第一件做的是就是断点 request 获取 session 的代码, 果然是有说法啊!

代码语言:java
复制
request.getSession()

file

代码语言:java
复制
@SuppressWarnings("deprecation")

@Order(SessionRepositoryFilter.DEFAULT\_ORDER)

public class SessionRepositoryFilter<S extends ExpiringSession> extends OncePerRequestFilter {

    public static final String SESSION\_REPOSITORY\_ATTR = SessionRepository.class.getName();



    public static final int DEFAULT\_ORDER = Integer.MIN\_VALUE + 50;



    private final SessionRepository<S> sessionRepository;



    private ServletContext servletContext;



    private MultiHttpSessionStrategy httpSessionStrategy = new CookieHttpSessionStrategy();

file

代码语言:java
复制
public void setAttribute(String name, Object value) {

    // 还挺讲究的, 设置 attr 之前先 checkState

    checkState();

    session.setAttribute(name, value);

}

checkState() 也很简单, 就是校验 invalidated 是否为 true.

代码语言:java
复制
private void checkState() {

    if(invalidated) {

        throw new IllegalStateException("The HttpSession has already be invalidated.");

    }

}

光从代码找还是有点难找的, 不过还是找到了:

file

file

file

验证 redis 中的数据

上个 debug 的 session 的 key 是: spring:session:sessions:62359810-d2cb-4378-a619-e2c31bb8242c, 看上去是存了一个 hash 结构.

redis 中获取 hash 的命令是:

代码语言:shell
复制
HGETALL hkey

执行一下:

代码语言:shell
复制
127.0.0.1:6379> HGETALL spring:session:sessions:62359810-d2cb-4378-a619-e2c31bb8242c

1) "maxInactiveInterval"

2) "\xac\xed\x00\x05sr\x00\x11java.lang.Integer\x12\xe2\xa0\xa4\xf7\x81\x878\x02\x00\x01I\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x01Q\x80"

3) "lastAccessedTime"

4) "\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01\x82\x00:\x99\x0e"

5) "creationTime"

6) "\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01\x82\x00:\x99\x0e"

里面好像还是没有业务数据, 艹, 发现我傻逼了, 断点还没放开,redis 压根还没存这个业务数据.

再执行一遍:

代码语言:shell
复制
127.0.0.1:6379> HGETALL spring:session:sessions:62359810-d2cb-4378-a619-e2c31bb8242c

 1) "creationTime"

 2) "\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01\x82\x00:\x99\x0e"

 3) "lastAccessedTime"

 4) "\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01\x82\x00D\x1f["

 5) "sessionAttr:HumanSession"

 6) "\xac\xed\x00\x05sr\x00#cn.com.xxx.base.bean.HumanSession\x8f\xbb\xb6d\xf6\x04\x8a\xd5\x02\x00\x1fD\x00\x0bcoordinateXD\x00\x0bcoordinateYZ\x00\tvalidFlagL\x00\x0fautoReceiveFlagt\x00\x13Ljava/lang/Integer;L\x00\x0ebrowserVersiont\x00\x12Ljava/lang/String;L\x00\ndataUnitIDq\x00~\x00\x01L\x00\afromCasq\x00~\x00\x01L\x00\tfromTokenq\x00~\x00\x01L\x00\thumanCodeq\x00~\x00\x02L\x00\ahumanIDq\x00~\x00\x01L\x00\thumanNameq\x00~\x00\x02L\x00\nhumanStyleq\x00~\x00\x02L\x00\ninvalidMsgq\x00~\x00\x02L\x00\x02ipq\x00~\x00\x02L\x00\rleaderLevelIDq\x00~\x00\x01L\x00\x05logIDq\x00~\x00\x01L\x00\tosVersionq\x00~\x00\x02L\x00\npatrolFlagq\x00~\x00\x01L\x00\bportraitq\x00~\x00\x02L\x00\bproxyUrlq\x00~\x00\x02L\x00\nregionCodeq\x00~\x00\x02L\x00\bregionIDq\x00~\x00\x01L\x00\nregionNameq\x00~\x00\x02L\x00\nregionTypeq\x00~\x00\x01L\x00\bserverIpq\x00~\x00\x02L\x00\x06targetq\x00~\x00\x02L\x00\ttelMobileq\x00~\x00\x02L\x00\aunionIDq\x00~\x00\x01L\x00\x06unitIDq\x00~\x00\x01L\x00\bunitNameq\x00~\x00\x02L\x00\buserNameq\x00~\x00\x02xp\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01pppsr\x00\x11java.lang.Integer\x12\xe2\xa0\xa4\xf7\x81\x878\x02\x00\x01I\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x00\x00q\x00~\x00\x06t\x00\rwizdom:100433sq\x00~\x00\x04\x00\x01\x88Qt\x00\x05xxxxx\x00\bdarkbluept\x00\x0f192.168.213.161pppq\x00~\x00\x06t\x00\x00ppq\x00~\x00\x06psq\x00~\x00\x04\x00\x00\x00\x01t\x00\t127.0.0.1pt\x00\x0b17700000000sq\x00~\x00\x04\x00\x00\x02\xbesq\x00~\x00\x04\x00\x00\x00\x02t\x00\x0f\xe5\xb8\x82\xe7\x9b\x91\xe7\x9d\xa3\xe4\xb8\xad\xe5\xbf\x83t\x00\x05xxx"

 7) "maxInactiveInterval"

 8) "\xac\xed\x00\x05sr\x00\x11java.lang.Integer\x12\xe2\xa0\xa4\xf7\x81\x878\x02\x00\x01I\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x01Q\x80"

 9) "sessionAttr:UnionAuthToken"

10) "\xac\xed\x00\x05t\x00$125ba47c-fe01-42b6-b5a2-8a87eb266ddc"

这回有了, 而且还很多.

过期时间如何设置呢?

其实在可以加一个过滤器, 像平常那样设置 session 的过期时间就行:

代码语言:java
复制
req.getSession().setMaxInactiveInterval(expireTime);

filterChain.doFilter(servletRequest, servletResponse);

session 存储的小结

Spring Session 对 JavaWeb 中的 session 进行了一层包装, 写业务时候的接口都保持不变, 但是底层的存储从 Tomcat 中的内存变成了 Redis, 而且用户还没有感知.

如果可以能用哨兵模式保证 Redis 的高可以, 感觉是不是就解决了分布式 Session 的问题.

Session 的 invalidate 实现

代码语言:java
复制
HttpSession session = request.getSession();

if(session != null){

    session.removeAttribute(/\* here is your attr name\*/);

    session.invalidate();

}

看来这里主要就是 session.invalidate() 了.

代码语言:java
复制
// org.springframework.session.web.http.SessionRepositoryFilter.SessionRepositoryRequestWrapper.

// HttpSessionWrapper#invalidate

public void invalidate() {

    checkState();

    this.invalidated = true;

    requestedSessionInvalidated = true;

    setCurrentSession(null);

    sessionRepository.delete(getId());

}

根据 id 删除 session:

代码语言:java
复制
// org.springframework.session.data.redis.RedisOperationsSessionRepository#delete

public void delete(String sessionId) {

    ExpiringSession session = getSession(sessionId, true);

    if(session == null) {

        return;

    }



    String key = getKey(sessionId);

    expirationPolicy.onDelete(session);



    // always delete they key since session may be null if just expired

    this.sessionRedisOperations.delete(key);

}

onDelete 中也删除数据的:

代码语言:java
复制
    public void onDelete(ExpiringSession session) {

        long toExpire = roundUpToNextMinute(expiresInMillis(session));

        String expireKey = getExpirationKey(toExpire);

        expirationRedisOperations.boundSetOps(expireKey).remove(session.getId());

    }

盗来的一张图

file

回到我的问题

第三方通过 token 调用接口创建会话的问题很简单, 调用完了之后就可以将 session invalidate 了.

哈哈

原文地址: Spring Session 的原理

欢迎访问我的博客: https://blog.duhbb.com

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

spring
java

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

spring
java
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 引言
  • Spring Session 探索
    • 代码跟踪
      • 验证 redis 中的数据
        • 过期时间如何设置呢?
          • session 存储的小结
          • Session 的 invalidate 实现
            • 盗来的一张图
            • 回到我的问题
            相关产品与服务
            云数据库 Redis
            腾讯云数据库 Redis(TencentDB for Redis)是腾讯云打造的兼容 Redis 协议的缓存和存储服务。丰富的数据结构能帮助您完成不同类型的业务场景开发。支持主从热备,提供自动容灾切换、数据备份、故障迁移、实例监控、在线扩容、数据回档等全套的数据库服务。
            产品介绍产品文档
            云数据库采购特惠,高性能、高可靠、高安全,超值优惠等你享!
            领券

            腾讯云开发者

            扫码关注腾讯云开发者

            扫码关注腾讯云开发者

            领取腾讯云代金券

            热门产品

            热门推荐

            更多推荐

            Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

            深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

            腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

            Copyright © 2013 - 2024 Tencent Cloud.

            All Rights Reserved. 腾讯云 版权所有

            登录 后参与评论