分布式Session的幾種實(shí)現(xiàn)方式

• 1.基于數(shù)據(jù)庫(kù)的Session共享
• 2.基于NFS共享文件系統(tǒng)
• 3.基于memcached 的session谷炸，如何保證 memcached 本身的高可用性羽莺？
• 4.基于resin/tomcat web容器本身的session復(fù)制機(jī)制
• 5.基于TT/Redis 或 jbosscache 進(jìn)行 session 共享。
• 6.基于cookie 進(jìn)行session共享

一酬荞、Session Replication 方式管理 (即session復(fù)制)

** 簡(jiǎn)介：**將一臺(tái)機(jī)器上的Session數(shù)據(jù)廣播復(fù)制到集群中其余機(jī)器上
使用場(chǎng)景：機(jī)器較少汇在，網(wǎng)絡(luò)流量較小
優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單姐军、配置較少缺狠、當(dāng)網(wǎng)絡(luò)中有機(jī)器Down掉時(shí)不影響用戶訪問(wèn)
缺點(diǎn)：廣播式復(fù)制到其余機(jī)器有一定廷時(shí)，帶來(lái)一定網(wǎng)絡(luò)開(kāi)銷

二型雳、Session Sticky 方式管理

** 簡(jiǎn)介：即粘性Session当凡、當(dāng)用戶訪問(wèn)集群中某臺(tái)機(jī)器后，強(qiáng)制指定后續(xù)所有請(qǐng)求均落到此機(jī)器上
** 使用場(chǎng)景：機(jī)器數(shù)適中纠俭、對(duì)穩(wěn)定性要求不是非逞亓浚苛刻
** 優(yōu)點(diǎn)**：實(shí)現(xiàn)簡(jiǎn)單、配置方便冤荆、沒(méi)有額外網(wǎng)絡(luò)開(kāi)銷
缺點(diǎn)：網(wǎng)絡(luò)中有機(jī)器Down掉時(shí)朴则、用戶Session會(huì)丟失、容易造成單點(diǎn)故障

三钓简、緩存集中式管理

** 簡(jiǎn)介：**將Session存入分布式緩存集群中的某臺(tái)機(jī)器上乌妒，當(dāng)用戶訪問(wèn)不同節(jié)點(diǎn)時(shí)先從緩存中拿Session信息
使用場(chǎng)景：集群中機(jī)器數(shù)多、網(wǎng)絡(luò)環(huán)境復(fù)雜
優(yōu)點(diǎn)：可靠性好
缺點(diǎn)：實(shí)現(xiàn)復(fù)雜外邓、穩(wěn)定性依賴于緩存的穩(wěn)定性撤蚊、Session信息放入緩存時(shí)要有合理的策略寫(xiě)入

Session和Cookie的區(qū)別和聯(lián)系以及Session的實(shí)現(xiàn)原理

• 1、session保存在服務(wù)器损话，客戶端不知道其中的信息侦啸；cookie保存在客戶端，服務(wù)器能夠知道其中的信息丧枪。 - 2光涂、session中保存的是對(duì)象，cookie中保存的是字符串豪诲。
• 3顶捷、session不能區(qū)分路徑挂绰，同一個(gè)用戶在訪問(wèn)一個(gè)網(wǎng)站期間屎篱，所有的session在任何一個(gè)地方都可以訪問(wèn)到服赎。而cookie中如果設(shè)置了路徑參數(shù)，那么同一個(gè)網(wǎng)站中不同路徑下的cookie互相是訪問(wèn)不到的交播。
• 4重虑、session需要借助cookie才能正常，如果客戶端完全禁止cookie秦士，session將失效缺厉。

http是無(wú)狀態(tài)的協(xié)議，客戶每次讀取web頁(yè)面時(shí)隧土，服務(wù)器都打開(kāi)新的會(huì)話提针，而且服務(wù)器也不會(huì)自動(dòng)維護(hù)客戶的上下文信息，那么要怎么才能實(shí)現(xiàn)網(wǎng)上商店中的購(gòu)物車呢曹傀？

session就是一種保存上下文信息的機(jī)制辐脖，它是針對(duì)每一個(gè)用戶的，變量的值保存在服務(wù)器端皆愉，通過(guò)SessionID來(lái)區(qū)分不同的客戶,session是以cookie或URL重寫(xiě)為基礎(chǔ)的嗜价，默認(rèn)使用cookie來(lái)實(shí)現(xiàn)，系統(tǒng)會(huì)創(chuàng)造一個(gè)名為JSESSIONID的輸出cookie幕庐，我們叫做session cookie,以區(qū)別persistent cookies,也就是我們通常所說(shuō)的cookie,注意session cookie是存儲(chǔ)于瀏覽器內(nèi)存中的久锥，并不是寫(xiě)到硬盤(pán)上的，這也就是我們剛才看到的JSESSIONID异剥，我們通常情是看不到JSESSIONID的瑟由，但是當(dāng)我們把瀏覽器的cookie禁止后，web服務(wù)器會(huì)采用URL重寫(xiě)的方式傳遞Sessionid届吁，我們就可以在地址欄看到 sessionid=KWJHUG6JJM65HS2K6之類的字符串错妖。

明白了原理，我們就可以很容易的分辨出persistent cookies和session cookie的區(qū)別了疚沐，網(wǎng)上那些關(guān)于兩者安全性的討論也就一目了然了暂氯，session cookie針對(duì)某一次會(huì)話而言，會(huì)話結(jié)束session cookie也就隨著消失了亮蛔，而persistent cookie只是存在于客戶端硬盤(pán)上的一段文本（通常是加密的）痴施，而且可能會(huì)遭到cookie欺騙以及針對(duì)cookie的跨站腳本攻擊，自然不如 session cookie安全了究流。

通常session cookie是不能跨窗口使用的辣吃，當(dāng)你新開(kāi)了一個(gè)瀏覽器窗口進(jìn)入相同頁(yè)面時(shí)，系統(tǒng)會(huì)賦予你一個(gè)新的sessionid芬探，這樣我們信息共享的目的就達(dá)不到了神得，此時(shí)我們可以先把sessionid保存在persistent cookie中，然后在新窗口中讀出來(lái)偷仿，就可以得到上一個(gè)窗口SessionID了哩簿，這樣通過(guò)session cookie和persistent cookie的結(jié)合我們就實(shí)現(xiàn)了跨窗口的session tracking（會(huì)話跟蹤）宵蕉。

在一些web開(kāi)發(fā)的書(shū)中，往往只是簡(jiǎn)單的把Session和cookie作為兩種并列的http傳送信息的方式节榜，session cookies位于服務(wù)器端羡玛，persistent cookie位于客戶端，可是session又是以cookie為基礎(chǔ)的宗苍，明白的兩者之間的聯(lián)系和區(qū)別稼稿，我們就不難選擇合適的技術(shù)來(lái)開(kāi)發(fā)web service了。

總之：

一讳窟、cookie機(jī)制和session機(jī)制的區(qū)別

具體來(lái)說(shuō)cookie機(jī)制采用的是在客戶端保持狀態(tài)的方案让歼，而session機(jī)制采用的是在服務(wù)器端保持狀態(tài)的方案±龇龋　　同時(shí)我們也看到是越，由于在服務(wù)器端保持狀態(tài)的方案在客戶端也需要保存一個(gè)標(biāo)識(shí)，所以session機(jī)制可能需要借助于cookie機(jī)制來(lái)達(dá)到保存標(biāo)識(shí)的目的碌上，但實(shí)際上還有其他選擇倚评。

二、會(huì)話cookie和持久cookie的區(qū)別

如果不設(shè)置過(guò)期時(shí)間馏予，則表示這個(gè)cookie生命周期為瀏覽器會(huì)話期間天梧，只要關(guān)閉瀏覽器窗口，cookie就消失了霞丧。這種生命期為瀏覽會(huì)話期的cookie被稱為會(huì)話cookie呢岗。會(huì)話cookie一般不保存在硬盤(pán)上而是保存在內(nèi)存里∮汲ⅲ　　如果設(shè)置了過(guò)期時(shí)間后豫，瀏覽器就會(huì)把cookie保存到硬盤(pán)上，關(guān)閉后再次打開(kāi)瀏覽器突那，這些cookie依然有效直到超過(guò)設(shè)定的過(guò)期時(shí)間挫酿。　　存儲(chǔ)在硬盤(pán)上的cookie可以在不同的瀏覽器進(jìn)程間共享愕难，比如兩個(gè)IE窗口早龟。而對(duì)于保存在內(nèi)存的cookie，不同的瀏覽器有不同的處理方式猫缭。

三葱弟、如何利用實(shí)現(xiàn)自動(dòng)登錄

當(dāng)用戶在某個(gè)網(wǎng)站注冊(cè)后，就會(huì)收到一個(gè)惟一用戶ID的cookie猜丹≈ゼ樱客戶后來(lái)重新連接時(shí)，這個(gè)用戶ID會(huì)自動(dòng)返回射窒，服務(wù)器對(duì)它進(jìn)行檢查藏杖，確定它是否為注冊(cè)用戶且選擇了自動(dòng)登錄往湿，從而使用戶無(wú)需給出明確的用戶名和密碼狭魂，就可以訪問(wèn)服務(wù)器上的資源勺卢。

四糟描、如何根據(jù)用戶的愛(ài)好定制站點(diǎn)

網(wǎng)站可以使用cookie記錄用戶的意愿荡短。對(duì)于簡(jiǎn)單的設(shè)置嚷硫，網(wǎng)站可以直接將頁(yè)面的設(shè)置存儲(chǔ)在cookie中完成定制类垫。然而對(duì)于更復(fù)雜的定制培廓，網(wǎng)站只需僅將一個(gè)惟一的標(biāo)識(shí)符發(fā)送給用戶汉柒，由服務(wù)器端的數(shù)據(jù)庫(kù)存儲(chǔ)每個(gè)標(biāo)識(shí)符對(duì)應(yīng)的頁(yè)面設(shè)置误褪。

五、cookie的發(fā)送

1.創(chuàng)建Cookie對(duì)象2.設(shè)置最大時(shí)效3.將Cookie放入到HTTP響應(yīng)報(bào)頭　　如果你創(chuàng)建了一個(gè)cookie碾褂，并將他發(fā)送到瀏覽器兽间，默認(rèn)情況下它是一個(gè)會(huì)話級(jí)別的cookie:存儲(chǔ)在瀏覽器的內(nèi)存中，用戶退出瀏覽器之后被刪除正塌。如果你希望瀏覽器將該cookie存儲(chǔ)在磁盤(pán)上嘀略，則需要使用maxAge，并給出一個(gè)以秒為單位的時(shí)間乓诽。將最大時(shí)效設(shè)為0則是命令瀏覽器刪除該 cookie帜羊。　　發(fā)送cookie需要使用HttpServletResponse的addCookie方法鸠天，將cookie插入到一個(gè) Set-Cookie HTTP請(qǐng)求報(bào)頭中讼育。由于這個(gè)方法并不修改任何之前指定的Set-Cookie報(bào)頭，而是創(chuàng)建新的報(bào)頭稠集，因此我們將這個(gè)方法稱為是addCookie奶段，而非setCookie。同樣要記住響應(yīng)報(bào)頭必須在任何文檔內(nèi)容發(fā)送到客戶端之前設(shè)置剥纷。

六痹籍、cookie的讀取

1.調(diào)用request.getCookie　　要獲取有瀏覽器發(fā)送來(lái)的cookie，需要調(diào)用HttpServletRequest的getCookies方法晦鞋，這個(gè)調(diào)用返回Cookie對(duì)象的數(shù)組词裤，對(duì)應(yīng)由HTTP請(qǐng)求中Cookie報(bào)頭輸入的值。2.對(duì)數(shù)組進(jìn)行循環(huán)鳖宾，調(diào)用每個(gè)cookie的getName方法吼砂，直到找到感興趣的cookie為止　　cookie與你的主機(jī)(域)相關(guān)，而非你的servlet或JSP頁(yè)面鼎文。因而渔肩，盡管你的servlet可能只發(fā)送了單個(gè)cookie，你也可能會(huì)得到許多不相關(guān)的cookie拇惋。例如：　　String cookieName = “userID”;Cookie cookies［］ = request.getCookies();if (cookies!=null){for(int i=0;i Cookie cookie = cookies［i］;if (cookieName.equals(cookie.getName())){doSomethingWith(cookie.getValue());}}}

七周偎、如何使用cookie檢測(cè)初訪者

A.調(diào)用HttpServletRequest.getCookies()獲取Cookie數(shù)組B.在循環(huán)中檢索指定名字的cookie是否存在以及對(duì)應(yīng)的值是否正確C.如果是則退出循環(huán)并設(shè)置區(qū)別標(biāo)識(shí)D.根據(jù)區(qū)別標(biāo)識(shí)判斷用戶是否為初訪者從而進(jìn)行不同的操作

八抹剩、使用cookie檢測(cè)初訪者的常見(jiàn)錯(cuò)誤

不能僅僅因?yàn)閏ookie數(shù)組中不存在在特定的數(shù)據(jù)項(xiàng)就認(rèn)為用戶是個(gè)初訪者。如果cookie數(shù)組為null蓉坎，客戶可能是一個(gè)初訪者澳眷，也可能是由于用戶將cookie刪除或禁用造成的結(jié)果◎劝　　但是钳踊，如果數(shù)組非null,也不過(guò)是顯示客戶曾經(jīng)到過(guò)你的網(wǎng)站或域，并不能說(shuō)明他們?cè)?jīng)訪問(wèn)過(guò)你的servlet勿侯。其它servlet拓瞪、JSP頁(yè)面以及非Java Web應(yīng)用都可以設(shè)置cookie，依據(jù)路徑的設(shè)置助琐，其中的任何cookie都有可能返回給用戶的瀏覽器祭埂。　　正確的做法是判斷cookie數(shù)組是否為空且是否存在指定的Cookie對(duì)象且值正確兵钮。

九蛆橡、使用cookie屬性的注意問(wèn)題

屬性是從服務(wù)器發(fā)送到瀏覽器的報(bào)頭的一部分；但它們不屬于由瀏覽器返回給服務(wù)器的報(bào)頭掘譬『铰蓿　　　因此除了名稱和值之外，cookie屬性只適用于從服務(wù)器輸出到客戶端的cookie屁药；服務(wù)器端來(lái)自于瀏覽器的cookie并沒(méi)有設(shè)置這些屬性粥血。　　　因而不要期望通過(guò)request.getCookies得到的cookie中可以使用這個(gè)屬性酿箭。這意味著复亏，你不能僅僅通過(guò)設(shè)置cookie的最大時(shí)效，發(fā)出它缭嫡，在隨后的輸入數(shù)組中查找適當(dāng)?shù)腸ookie,讀取它的值缔御，修改它并將它存回Cookie，從而實(shí)現(xiàn)不斷改變的cookie值妇蛀。

十耕突、如何使用cookie記錄各個(gè)用戶的訪問(wèn)計(jì)數(shù)

1.獲取cookie數(shù)組中專門用于統(tǒng)計(jì)用戶訪問(wèn)次數(shù)的cookie的值2.將值轉(zhuǎn)換成int型3.將值加1并用原來(lái)的名稱重新創(chuàng)建一個(gè)Cookie對(duì)象4.重新設(shè)置最大時(shí)效5.將新的cookie輸出

十一、session在不同環(huán)境下的不同含義

session评架，中文經(jīng)常翻譯為會(huì)話眷茁，其本來(lái)的含義是指有始有終的一系列動(dòng)作/消息，比如打電話是從拿起電話撥號(hào)到掛斷電話這中間的一系列過(guò)程可以稱之為一個(gè)session纵诞∩掀恚　　然而當(dāng)session一詞與網(wǎng)絡(luò)協(xié)議相關(guān)聯(lián)時(shí)，它又往往隱含了“面向連接”和/或“保持狀態(tài)”這樣兩個(gè)含義〉谴蹋　　session在Web開(kāi)發(fā)環(huán)境下的語(yǔ)義又有了新的擴(kuò)展籽腕，它的含義是指一類用來(lái)在客戶端與服務(wù)器端之間保持狀態(tài)的解決方案。有時(shí)候Session也用來(lái)指這種解決方案的存儲(chǔ)結(jié)構(gòu)纸俭。

十二皇耗、session的機(jī)制

session機(jī)制是一種服務(wù)器端的機(jī)制，服務(wù)器使用一種類似于散列表的結(jié)構(gòu)(也可能就是使用散列表)來(lái)保存信息揍很±陕ィ　　但程序需要為某個(gè)客戶端的請(qǐng)求創(chuàng)建一個(gè)session的時(shí)候，服務(wù)器首先檢查這個(gè)客戶端的請(qǐng)求里是否包含了一個(gè)session標(biāo)識(shí)－稱為session id,如果已經(jīng)包含一個(gè)session id則說(shuō)明以前已經(jīng)為此客戶創(chuàng)建過(guò)session女轿，服務(wù)器就按照session id把這個(gè)session檢索出來(lái)使用(如果檢索不到，可能會(huì)新建一個(gè)壕翩，這種情況可能出現(xiàn)在服務(wù)端已經(jīng)刪除了該用戶對(duì)應(yīng)的session對(duì)象蛉迹，但用戶人為地在請(qǐng)求的URL后面附加上一個(gè)JSESSION的參數(shù))》怕瑁　　如果客戶請(qǐng)求不包含session id北救，則為此客戶創(chuàng)建一個(gè)session并且生成一個(gè)與此session相關(guān)聯(lián)的session id，這個(gè)session id將在本次響應(yīng)中返回給客戶端保存芜抒。

十三珍策、保存session id的幾種方式

A．保存session id的方式可以采用cookie，這樣在交互過(guò)程中瀏覽器可以自動(dòng)的按照規(guī)則把這個(gè)標(biāo)識(shí)發(fā)送給服務(wù)器宅倒。B．由于cookie可以被人為的禁止攘宙，必須有其它的機(jī)制以便在cookie被禁止時(shí)仍然能夠把session id傳遞回服務(wù)器，經(jīng)常采用的一種技術(shù)叫做URL重寫(xiě)拐迁，就是把session id附加在URL路徑的后面蹭劈，附加的方式也有兩種，一種是作為URL路徑的附加信息线召，另一種是作為查詢字符串附加在URL后面铺韧。網(wǎng)絡(luò)在整個(gè)交互過(guò)程中始終保持狀態(tài)，就必須在每個(gè)客戶端可能請(qǐng)求的路徑后面都包含這個(gè)session id缓淹。C．另一種技術(shù)叫做表單隱藏字段哈打。就是服務(wù)器會(huì)自動(dòng)修改表單，添加一個(gè)隱藏字段讯壶，以便在表單提交時(shí)能夠把session id傳遞回服務(wù)器料仗。

十四、session什么時(shí)候被創(chuàng)建

一個(gè)常見(jiàn)的錯(cuò)誤是以為session在有客戶端訪問(wèn)時(shí)就被創(chuàng)建伏蚊，然而事實(shí)是直到某server端程序(如Servlet)調(diào)用HttpServletRequest.getSession(true)這樣的語(yǔ)句時(shí)才會(huì)被創(chuàng)建罢维。

十五、session何時(shí)被刪除

session在下列情況下被刪除：
A．程序調(diào)用HttpSession.invalidate()
B．距離上一次收到客戶端發(fā)送的session id時(shí)間間隔超過(guò)了session的最大有效時(shí)間
C．服務(wù)器進(jìn)程被停止　　
再次注意關(guān)閉瀏覽器只會(huì)使存儲(chǔ)在客戶端瀏覽器內(nèi)存中的session cookie失效，不會(huì)使服務(wù)器端的session對(duì)象失效肺孵。