深夜,我偷听到程序员要对session下手......
來(lái)源 | 編程技術(shù)宇宙
責(zé)編 | Jerry
我是一個(gè)web服務(wù)器
我是一個(gè)web服務(wù)器,我的工作是給人類提供上網(wǎng)服務(wù),我每天要為數(shù)以萬(wàn)計(jì)的人提供網(wǎng)頁(yè)瀏覽服務(wù)。
已經(jīng)是深夜了,我還在和手下幾個(gè)兄弟為了一件事緊張討論著。
“老大,現(xiàn)在咱們每天處理的請(qǐng)求越來(lái)越多了,session同步的問(wèn)題不能再拖了,必須想個(gè)辦法”
“二哥說(shuō)的是啊,老大,不能再拖了”
“老二,老三,咱們是一個(gè)集群,你們說(shuō)的問(wèn)題我不是不知道,我昨天聽(tīng)程序員們?cè)谟懻撜f(shuō)要給我們接入一個(gè)叫Redis的家伙,相信這一問(wèn)題很快就能得到解決啦,大家再忍忍。”
“Redis,他是誰(shuí),什么來(lái)頭?怎么沒(méi)聽(tīng)過(guò)這號(hào)人物”
“我也沒(méi)見(jiàn)過(guò),等等看吧”
session-cookie時(shí)代
到底是什么問(wèn)題,讓我們兄弟幾個(gè)如此著急上火?事情還得從多年以前說(shuō)起······
那時(shí)候,這倆兄弟還沒(méi)來(lái),就我一個(gè)web服務(wù)器,每天處理的不過(guò)是一些靜態(tài)資源文件,像HTML、CSS、JS、圖片等等,日子過(guò)的清閑自在。
日子一天天過(guò)著,互聯(lián)網(wǎng)卻悄然發(fā)生著變化。除了靜態(tài)網(wǎng)頁(yè)之外,可以動(dòng)態(tài)交互的網(wǎng)絡(luò)應(yīng)用開(kāi)始如雨后春筍般涌現(xiàn),像各種各樣的論壇啊,購(gòu)物網(wǎng)站啊之類的。
這家公司的老板也不例外,招了一幫程序員要搞一套支持動(dòng)態(tài)網(wǎng)頁(yè)交互的網(wǎng)站出來(lái)。
以往的時(shí)候,我只需要按照HTTP協(xié)議的規(guī)范處理請(qǐng)求就完事兒了。不過(guò)動(dòng)態(tài)交互應(yīng)用出現(xiàn)后,我還得記住每一個(gè)請(qǐng)求背后的用戶是誰(shuí),要不然就張冠李戴,全亂套了。
為了解決這個(gè)問(wèn)題,程序員們想出了一個(gè)叫session的辦法:
瀏覽器登陸以后,我就分配一個(gè)session id,表示一個(gè)會(huì)話,然后返回給瀏覽器,讓它保存著。后續(xù)再來(lái)請(qǐng)求的時(shí)候,就把它給帶上,我就能知道是誰(shuí)啦!
還別說(shuō),這辦法還是挺管用的,成功解決了用戶身份識(shí)別的問(wèn)題,這一用就是好幾年。
不過(guò),互聯(lián)網(wǎng)的發(fā)展實(shí)在是太快了,用戶量蹭蹭上漲,而我卻發(fā)起了愁。
原先用戶量少的時(shí)候,session id管理起來(lái)倒也簡(jiǎn)單,現(xiàn)在用戶越來(lái)越多,對(duì)應(yīng)的session id數(shù)量也與日俱增,我有點(diǎn)不堪重負(fù)了。
終于前不久,公司對(duì)web服務(wù)器進(jìn)行了擴(kuò)展,給我找來(lái)了兩個(gè)小弟,還專門添置了一個(gè)nginx來(lái)進(jìn)行負(fù)載均衡,這一下我們變成了3臺(tái)web服務(wù)器組成的小集群了。
我的工作一下輕松了許多,兩位小兄弟為了分擔(dān)了不少。我原以為以后的日子要好過(guò)一些了,可沒(méi)想到,兩位小兄弟的加入?yún)s引入了新的問(wèn)題。
原先的session id雖然很多,我一個(gè)人累是累點(diǎn),但是方便管理啊!現(xiàn)在人手是增加了,可是這個(gè)session id的管理問(wèn)題卻變得復(fù)雜起來(lái)。
因?yàn)樵蹅儸F(xiàn)在是個(gè)集群,請(qǐng)求如果發(fā)到我這,我給登記了session id,但下一次請(qǐng)求說(shuō)不定就發(fā)到老二那里,一會(huì)兒又發(fā)到老三那里,這個(gè)就說(shuō)不準(zhǔn)了,這樣我們幾個(gè)手頭的信息不一致,就會(huì)出現(xiàn)一些異常情況,用戶估計(jì)要破口大罵:這什么辣雞網(wǎng)站?
后來(lái)我們跟nginx商量了一下,讓他同一個(gè)用戶來(lái)的請(qǐng)求都發(fā)給我們固定的一個(gè)人,這才穩(wěn)住了局面。
不過(guò)好景不長(zhǎng),后面我們?nèi)值芏枷嗬^出現(xiàn)過(guò)宕機(jī)的情況,這時(shí)候nginx還是得把請(qǐng)求交給還在工作的兄弟,原來(lái)的問(wèn)題就又出現(xiàn)了!
我們幾個(gè)逼急了,商量了一下,干脆大家伙來(lái)同步session id的信息好了,有新增、失效的情況都給其他幾個(gè)兄弟招呼一下,大家都管理一份,這樣就不會(huì)出現(xiàn)不一致的問(wèn)題了。
搞了半天,又變成以前一個(gè)人管理所有session id的情況了,不僅如此,還要抽出時(shí)間和幾位兄弟同步,把session id搬來(lái)搬去,工作量不減反增了。
就這樣艱難的過(guò)了一段日子,大家都怨聲載道,所以有了開(kāi)頭的那一番討論。
這一次,希望這位新來(lái)的叫Redis的伙伴能拯救我們。
獨(dú)立緩存——Redis
過(guò)了幾天,總算把這個(gè)叫Redis的小伙伴給盼來(lái)了!
這小子看起來(lái)特別精神,了解清楚情況后,告訴我們說(shuō):“三位老哥,以后這session id都統(tǒng)一存在我這里吧,你們別各自保存了,這不是各位的擅長(zhǎng)”
“你行嗎?”,老二看著不太相信他的話,一臉不屑。
“行不行,試試不就知道了嗎?”
接下來(lái),我們聽(tīng)從了Redis的建議,不再保存這煩人的session id,全部一股腦兒交給了他,我們需要的時(shí)候再找他獲取。
你還別說(shuō),這小子個(gè)子不大,本事不小,讀寫(xiě)速度都特快,讓我們頭疼的問(wèn)題總算是解決了!
Token時(shí)代
幾個(gè)月后的一天···
“聽(tīng)說(shuō)了嗎?程序員們又要更改session id的存儲(chǔ)方案了”,這一天,老二神神秘秘的說(shuō)到。
“不對(duì)不對(duì),我聽(tīng)到的版本是以后不用session id了,要變天了!”,老三也湊了上來(lái)。
一旁的redis老哥一聽(tīng)不樂(lè)意了,“咋的?是嫌我干的不好嗎?”
我也趕緊催促,“你倆就別賣關(guān)子了,聽(tīng)到了什么,快說(shuō)說(shuō)”
老三示意大家圍攏一些,小聲說(shuō)到:“我上次聽(tīng)兩個(gè)程序員在議論,不知道他們?cè)谀睦飳W(xué)來(lái)了一套叫JWT(JSON Web Token) 的技術(shù),硬說(shuō)讓我們來(lái)管理保存session id負(fù)擔(dān)太重了,以后不保存了!還說(shuō),還說(shuō)···”
“還說(shuō)啥,你倒是說(shuō)啊!”
“還說(shuō),Redis也不是萬(wàn)能的,也有崩潰的風(fēng)險(xiǎn),一崩潰就全完了,所以要革新技術(shù)”,老三繼續(xù)說(shuō)到。
Redis一聽(tīng)更著急上火了,“我工作這么久以來(lái),從沒(méi)有撂過(guò)挑子吧,怎么能這么說(shuō)我呢?再不行我也可以像你們搞個(gè)集群嘛”
“Redis老弟你先別急。唉,老三,這不保存session id,以后怎么鑒別用戶呢?你有沒(méi)有聽(tīng)到他們?cè)趺凑f(shuō)的?”
“聽(tīng)他們說(shuō),沒(méi)有session id,但是換了一個(gè)token,用它來(lái)識(shí)別用戶”
老二一聽(tīng)不以為意:“換了個(gè)名字,換湯不換藥嘛!咱們還不是要保存token,才能匹配誰(shuí)是誰(shuí)”
老三搖了搖頭:“不是的,這可不只是改了個(gè)名字那么簡(jiǎn)單!這個(gè)token是由三部分構(gòu)成,就像這樣:”
“你們看,第一部分是JWT的基本信息,然后把用戶的身份信息放在第二部分,接著和第一部分合在一起做一個(gè)計(jì)算,計(jì)算的時(shí)候加入了一個(gè)只有我們才知道的密鑰secretkey,計(jì)算結(jié)果作為第三部分。最后三部分拼在一起作為最終的token發(fā)送給客戶端保存著···”
還沒(méi)等老三說(shuō)完,老二點(diǎn)出了其中的關(guān)鍵:“我知道了,后面咱們?cè)偈盏竭@個(gè)token的時(shí)候,就可以通過(guò)同樣的算法驗(yàn)證前面兩部分的結(jié)果和第三部分是不是相同,就知道這個(gè)token是不是偽造的啦!因?yàn)槊荑€只有我們知道,別人沒(méi)辦法偽造出一個(gè)token的!最后確認(rèn)有效之后,再取第二部分的用戶身份信息,就知道這是誰(shuí)了!”
聽(tīng)完他們的分析,我和Redis老兄都默默的點(diǎn)了點(diǎn)頭,“有點(diǎn)意思啊,這樣一來(lái),咱們確實(shí)不用存了!不過(guò)現(xiàn)在咱們幾個(gè)工作配合的也挺好的,他們費(fèi)這么大勁是為了什么啊?”
“我猜他們是想節(jié)約開(kāi)支,把Redis老哥給裁掉!”,老二說(shuō)到。
老三搖了搖頭,“依我看,八成他們是想展示技術(shù)給領(lǐng)導(dǎo)看,這不又快到職級(jí)晉升答辯了,他們想搞事情!唉,老大,這事你怎么看?”
“我啊,我···”
朋友們,你怎么看?session-cookie和JWT,你更傾向誰(shuí)?
更多閱讀推薦
還不懂Redis?看完這個(gè)故事就明白了!
2020職場(chǎng)人裸辭三大原因:不開(kāi)心、工資低、沒(méi)有盼頭
云原生安全模型與實(shí)踐
Swift、Flutter 共同瞄準(zhǔn) Windows!
PINGPONG技術(shù)文檔:數(shù)據(jù)分析三劍客+MySQL+可視化套餐+量化分析+Hadoop倉(cāng)庫(kù)
總結(jié)
以上是生活随笔為你收集整理的深夜,我偷听到程序员要对session下手......的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 我是程序员,我用这种方式铭记历史
- 下一篇: 云原生安全厂商小佑科技获达泰资本千万级投