Session和Cookie的區別,及多視窗/多伺服器下的Session解決方案
阿新 • • 發佈:2019-01-02
1. Session和Cookie最大的區別是在於Session變數的值是儲存在伺服器端的(在客戶端和伺服器端保持狀態),Cookie變數的值是儲存在客戶端的(在客戶端保持狀態)。
2. 伺服器上會儲存每一個使用者的Session,之間通過Session ID來作為唯一識別符號。當客戶端與伺服器端進行通訊請求建立一個新的Session時,伺服器端會先檢查這個請求裡是否已經包含了Session
ID:如果已經包含了,則證明已存在為此使用者建立的Session,客戶端會將之前的Session檢索出來使用;如果不包含,則客戶端會建立一個Session及其Session ID,並在此次請求返回時將此Session ID 返回給使用者。
- 使用獨立的快取器。既將Session的資料儲存在一個獨立的伺服器上。但是這樣可能會有一些安全隱患,因此我們可以通過使用memcached分散式快取伺服器來進行儲存。
- 伺服器之間的Session不斷傳遞和複製(Tomcat容器的採用方案)。但這種方法有一種弊端,經人測試,web應用所能承載的併發數並沒有因為伺服器的增加而線性增加,甚至到達一個臨界值時,新增伺服器甚至會導致併發數的下降。原因是因為不同伺服器間Session的傳遞和複製也會消耗系統資源,當伺服器越多/使用者請求越頻繁,系統資源的消耗也會越來越大。
- Session Cookie直接儲存到Persistent Cookie中(早期淘寶採用的方案)。但是這種方式不安全,容易遭受惡意擷取Cookie等攻擊。
- Load Balancer - 負載均衡器(硬體:F5;軟體:LVS)。負載均衡器可以分發請求,將使用者請求均勻地傳送到後臺伺服器。它還有一個特點,它可以記錄每個Session ID對應的伺服器。當帶有Session ID的請求通過負載均衡器時,它會根據該值直接找到相對應的Web伺服器。這種做法的專有名詞叫做Sticky Session(Session粘滯)。不過這種做法也有一個弊端,當某個伺服器掛掉的時候,其上儲存的所有Session都會失效。