session一致性架構設計

海小鑫發表於2018-05-19

 

  什麼是session?

  由於HTTP協議是無狀態的協議,因此它不會去記住上一次瀏覽器訪問伺服器時的資訊。同一個使用者的兩次操作,與兩個不同使用者的操作,對它來說是一樣的。 這樣雖然滿足了網際網路web應用的海量訪問的需求,但是對於現今類似電商的應用來說,是需要實現登入以及身份驗證需求的,但是無狀態的HTTP顯然是做不到的,這樣才出現了session。

  Web伺服器為每個使用者建立一個會話,儲存使用者的相關資訊,以便多次請求能夠定位到同一個上下文。

  web-server可以自動為每一個瀏覽器訪問的使用者自動建立session,提供資料儲存功能。最常見的,會把使用者的登入資訊、使用者資訊儲存在session中,以保持持續登入狀態。

 

  什麼是session一致性問題?

  每次http短連線請求,理論上服務端都能定位到session,保持會話狀態。

  當應用只有一臺web-server提供服務時,每次瀏覽器傳送http請求,都能夠正確路由到儲存session的對應web-server(因為只有一臺)。

  此時的web-server是無法保證高可用的,因此如果我們採用Nginx反向代理,然後加上web-server “冗餘+故障轉移”的方案,用多臺web-server來保證高可用時,每次http短連線請求就不一定能路由到正確的session了

  比如第一次使用者登入的時候,Nginx路由到 web-server1,且在web-server1上建立了session,當第二次訪問時,Nginx路由到了web-server2上。此時web-server2上是沒有使用者的登入資訊的,那麼就會導致使用者需要重新登入,這樣使用者體驗肯定是不好的。

  那麼如何保證分散式系統的session路由一致性呢?

  一、session同步法

  這個方案的思路就是,多個web-server之間相互同步session,這樣每個web-server之間都包含全部的session。

  優點:應用程式不需要修改程式碼。

  不足

  • session的同步需要資料傳輸,佔內網頻寬,有時延

  • 所有web-server都包含所有session資料,資料量受記憶體限制,無法水平擴充套件。

 

  二、客戶端儲存法

  這個方案的思路就是,服務端儲存所有使用者的session的話記憶體佔用較大,可以將session儲存到瀏覽器cookie中,每個端只要儲存一個使用者的資料了。

  優點:服務端不需要儲存。

  缺點

  • 每次http請求都攜帶session,佔外網頻寬

  • 資料儲存在端上,並在網路傳輸,存在洩漏、篡改、竊取等安全隱患

  • session儲存的資料大小受cookie限制

   “端儲存”的方案雖然不常用,但確實是一種思路。

 

  三、反向代理hash一致性

  這個方案的思路就是,在反向代理層做點文章,讓同一個使用者的請求保證落在一臺web-server上。

  我們可以在反向代理層使用使用者ip來做hash,以保證同一個ip的請求落在同一個web-server上。

  優點

  • 只需要改nginx配置,不需要修改應用程式碼

  • 負載均衡,只要hash屬性是均勻的,多臺web-server的負載是均衡的

  • 可以支援web-server水平擴充套件

  不足

  • 如果web-server重啟,一部分session會丟失,例如部分使用者重新登入

  • 如果web-server水平擴充套件,rehash後session重新分佈,也會有一部分使用者路由不到正確的session

 

  四、後端統一儲存法

  思路就是,將session儲存在web-server後端的儲存層,資料庫或者快取

  優點

  • 沒有安全隱患

  • 可以水平擴充套件,資料庫/快取水平切分即可

  • web-server重啟或者擴容都不會有session丟失

  不足增加了一次網路呼叫,並且需要修改應用程式碼。

  對於db儲存還是cache,個人推薦後者:session讀取的頻率會很高,資料庫壓力會比較大。如果有session高可用需求,cache可以做高可用,但大部分情況下session可以丟失,一般也不需要考慮高可用。

 

  總結

  保證session一致性的架構設計常見方法:

  • session同步法:多臺web-server相互同步資料

  • 客戶端儲存法:一個使用者只儲存自己的資料在cookie中。

  • 反向代理hash一致性:保證一個使用者的請求落在一臺web-server上

  • 後端統一儲存:web-server重啟和擴容,session也不會丟失

 

  對於方案3和方案4,個人建議推薦後者:

  • web層、service層無狀態是大規模分散式系統設計原則之一session屬於狀態,不宜放在web層。

相關文章