2. 程式人生 > >Spring Session Redis 在不同服務間共享 Session 時的類共享方案

Spring Session Redis 在不同服務間共享 Session 時的類共享方案

阿新 發佈:2019-09-02

Spring Session Redis 是不安全的

當在多服務之間使用 Spring Session Redis 進行 Session 共享要非常小心,因為它很不安全,很有可能導致整個服務例項不可用,無法處理任何請求。其中比較危險的地方就是在進行序列化,反序列化的時候(這種型別的錯誤尤其容易在沒有開發規範的團隊內發生,就是什麼樣的資料可以往共享儲存裡面存,什麼樣的不能存。存的時候要以什麼樣的格式去存,這些都要有規定才比較安全。因為共享儲存是會影響到別人的不僅僅是為了自己的服務用起來方便)。RedisSerializer 介面的實現都是在序列化和反序列化出錯的時候直接丟擲異常從而導致整個請求錯誤。

public interface RedisSerializer<T> {

	/**
	 * Serialize the given object to binary data.
	 * 
	 * @param t object to serialize
	 * @return the equivalent binary data
	 */
	byte[] serialize(T t) throws SerializationException;

	/**
	 * Deserialize an object from the given binary data.
	 * 
	 * @param bytes object binary representation
	 * @return the equivalent object instance
	 */
	T deserialize(byte[] bytes) throws SerializationException;
}

 

下面用一張圖來說明我遇到的問題。Spring Session 的誕生老實說並不是為了分散式系統,而是為集群系統提供了一種 Session 解決方案。但是我們把 Spring Session 用在了分散式系統上用以解決 Session 共享的問題老實說本身就是有點難為人家 Spring Session 了 。

 

Spring Session 實現 Session 共享的大致原理

Spring Session 實現 Session 共享的大致原理如下圖所示 , 使用一個 Filter 來攔截所有請求,在攔截到請求之後對 HttpServletRequest 和 HttpServletResponse 進行包裝 (HttpServletRequestWrapper  , HttpServletResponseWrapper)。在包裝中對 session 進行控制 ,將 session 資料都儲存在第三方儲存當中。

 

Spring Session Redis 在不同服務間共享 Session 時的類共享方案

在瞭解了 Spring Session 的工作原理後再去考慮這個問題就有頭緒了 。還是通過圖形的方式來做大概的說明。

 

學習 Spring Session 的 SessionRepositoryFilter 的實現方式 , 新增一個 Filter 順序在 SessionRepositoryFilter 之後 , 在攔截過程中包裝 HttpServletRequest , 重寫 getSession(boolean create)  和 getSession() 方法, 自定義一個 SafetyHttpSessionWrapper 包裝 Session ,重寫 setAttribute(String name , Object value) 函式 , 在儲存屬性成功後利用 redis 的釋出訂閱機制傳送訊息到 redis , 訊息的內容為所儲存物件的 .class 檔案資料。在訊息訂閱端 , 接收到訊息後利用 javassist 和 net.bytebuddy.dynamic.loading.ByteArrayClassLoader 將 .class 檔案資料載入轉換成 Class 的例項物件,但是這個  Class 例項的範圍被限定在 ByteArrayClassLoader 中 , 而這個 ByteArrayClassLoader 是提供給 RedisSerializer 內部使用的 , 比如 JdkSerializationRedisSerializer , GenericJackson2JsonRedisSerializer 都需要使用到 ClassLoader 。這樣當 服務A 在儲存任何自定義的物件在 Session 中時, 訪問服務 B 也不會出現讀取 Session 反序列化 ClassNotFoundException 的錯誤了。

 

初版程式碼實現

以上思路的程式碼實現在 WORKX 專案中,感興趣的同學可以參考 org.hepeng.workx.spring.session.redis.serializer 這個包下的程式碼。從 org.hepeng.workx.spring.session.redis.serializer.SafetyRedisSerializerConfiguration 這個類入手看原始碼。目前 RedisSerializer 元件只支援了 JdkSerializationRedisSerializer , GenericJackson2JsonRedisSerializer 以

相關推薦

Spring Session Redis不同服務共享 Session 共享方案

Spring Session Redis 是不安全的 當在多服務之間使用 Spring Session Redis 進行 Se

spring session + redis 實現web工程的session共享

關於session共享,在網上有很多文章,但是很少有文章是別人看過了,能夠實際操作就能實現出來的,我不知道是文章寫的漏掉了什麼還是什麼原因,可能是我的能力還達不到文章所需要的能力要求吧。先不管那麼多了,我就以我實際配置安裝部署的例項來講述下我的實現session共享的方式吧

Spring Cloud中的服務通訊(RestTemplate和Feign)

大家如果覺得我寫的好,可以關注這個專案,之後我的學習過程中都會把學習筆記放入這個專案中。 https://github.com/IndustriousSnail/learning-notes Spring Cloud中的服務間通訊(RestTemplate和Feign) 目錄

基於spring-cloud-feign的服務呼叫,類比

說到spring-cloud 服務呼叫不的不提dubbo. spring-cloud的服務呼叫是基於http呼叫,dubbo是基於RPC。使用feign就能實現微服務間的方法呼叫。 spring-cloud的服務呼叫一般有兩種,第一種是ribbon+restTemplate,第二種是

服務不同服務進行介面呼叫

前言:最近在做專案時用到了微服務的架構。本篇文章主要說明微服務之間讓服務進行通訊。 正文:在其他模組進行呼叫user模組的使用者所有資訊。 在業務層實現的程式碼 @FeignClient(value="user",fallback=UserServerFailBack.class) public int

Spring總結及不同版本的區別

一 Spring中有一個IOC物件容器(Spring內部的一個HashMap容器),用於盛放物件的! Spring中全部生成的物件都放在IOC物件容器中的!是以name或id的值做鍵存在容器中的! 給物件注入值的方式:---以下的4種全部都是交給Spring框架去注入的! 1.       用不帶

spring boot + session+redis解決session共享問題

tar session tail ref href spring pan dream spa 自己沒有親自試過,不過看了下這個例子感覺靠譜,以後做了測試,在加以說明。spring boot + session+redis解決session共享問題

使用Spring SessionRedis解決分布式Session跨域共享問題

默認 mark value des nested project pty 錯誤 lte 前言 對於分布式使用Nginx+Tomcat實現負載均衡,最常用的均衡算法有IP_Hash、輪訓、根據權重、隨機等。不管對於哪一種負載均衡算法,由於Nginx對不同的請求分發到某一個To

spring cloud redis session共享

mvn依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-start

Spring-Session+Redis實現session共享

1、新增依賴 <dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-redis</artifactId>

Spring Boot Redis session共享

Spring Boot Redis session共享 配置Maven依賴 RedisSessionConfig application.properties application.yml 配置Maven依賴 <dep

spring-boot+Redis實現簡單的分散式叢集session共享

  寫在前面:      首先宣告,筆者是一名Java程式設計屆的小學生。前面一直在幾家公司裡面做開發,其實都是一些傳統的專案,對於像分散式啦,叢集啦一些大型的專案接觸的很少,所以一直沒有自己整合和實現過。由於最近幾天專案不是很忙,自己又有點時間

使用Spring-Session Redis實現Session共享

知其然,還要知其所以然 ! 本篇介紹Spring-Session的整個實現的原理。以及對核心的原始碼進行簡單的介紹! 實現原理介紹 實現原理這裡簡單說明描述: 就是當Web伺服器接收到http請求後,當請求進入對應的Filter進行過濾,將原本需要由web伺服器

spring session+redis解決負載均衡下的session共享問題

java web專案,不依賴於web容器,實現負載均衡,必須解決session共享問題。 spring-session +redis是最方面快捷的,不用重複造輪子,且不用修改專案的程式碼,並且使專案使用的session與web容器解耦, 完全由容器的httpsession轉為

spring boot整合redis實現shiro的分散式session共享

我們知道,shiro是通過SessionManager來管理Session的,而對於Session的操作則是通過SessionDao來實現的,預設的情況下,shiro實現了兩種SessionDao,分別為CachingSessionDAO和MemorySessionDAO,

spring session redis 實現叢集session共享,SessionListener監聽生效

pom主要配置 <properties> <spring.version>5.0.3.RELEASE</spring.version> <commons-lang.version

Spring Session + Redis實現分散式Session共享

通常情況下,Tomcat、Jetty等Servlet容器,會預設將Session儲存在記憶體中。如果是單個伺服器例項的應用,將Session儲存在伺服器記憶體中是一個非常好的方案。但是這種方案有一個缺點,就是不利於擴充套件。 目前越來越多的應用採用分散式部署,

詳解基於Spring Boot/Spring Session/Redis的分散式Session共享解決方案

分散式Web網站一般都會碰到叢集session共享問題,之前也做過一些Spring3的專案,當時解決這個問題做過兩種方案,一是利用nginx,session交給nginx控制,但是這個需要額外工作較多;還有一種是利用一些tomcat上的外掛,修改tomcat配置檔案,讓tom

Nginx+Tomcat搭建叢集,Spring Session+Redis實現Session共享

小夥伴們好久不見!最近略忙,部落格寫的有點少,嗯,要加把勁。OK,今天給大家帶來一個JavaWeb中常用的架構搭建,即Nginx+Tomcat搭建服務叢集,然後通過Spring Session+Redis實現Session共享。 閱讀本文需要有如下知識點:

Spring Session + Redis 實現session共享

這裡主要介紹一下基於xml的配置:1. 在pom.xml檔案中引入所需依賴<!-- spring-session begin--> <dependency>