今天系統(tǒng)性和大家聊一聊session一致性。

什么是session？

服務(wù)器為每個(gè)用戶創(chuàng)建一個(gè)會(huì)話，存儲(chǔ)用戶的相關(guān)信息，以便多次請(qǐng)求能夠定位到同一個(gè)上下文。

Web開發(fā)中，web-server可以自動(dòng)為同一個(gè)瀏覽器的訪問用戶自動(dòng)創(chuàng)建session，提供數(shù)據(jù)存儲(chǔ)功能。最常見的，會(huì)把用戶的登錄信息、用戶信息存儲(chǔ)在session中，以保持登錄狀態(tài)。

什么是session一致性問題？

只要用戶不重啟瀏覽器，每次http短連接請(qǐng)求，理論上服務(wù)端都能定位到session，保持會(huì)話。

當(dāng)只有一臺(tái)web-server提供服務(wù)時(shí)，每次http短連接請(qǐng)求，都能夠正確路由到存儲(chǔ)session的對(duì)應(yīng)web-server。

畫外音：廢話，因?yàn)橹挥幸慌_(tái)。

此時(shí)的web-server是無法保證高可用的，采用“冗余+故障轉(zhuǎn)移”的多臺(tái)web-server來保證高可用時(shí)，每次http短連接請(qǐng)求就不一定能路由到正確的session了。

如上圖，假設(shè)用戶包含登錄信息的session都記錄在第一臺(tái)web-server上，反向代理如果將請(qǐng)求路由到另一臺(tái)web-server上，可能就找不到相關(guān)信息，而導(dǎo)致用戶需要重新登錄。

在web-server高可用時(shí)，如何保證session路由的一致性呢？

常見的，有這么5種方法。

方案一：session同步法。

思路：多個(gè)web-server之間相互同步session，這樣每個(gè)web-server之間都包含全部的session。

優(yōu)點(diǎn)：web-server支持的功能，應(yīng)用程序不需要修改代碼。

不足：

• session的同步需要數(shù)據(jù)傳輸，占內(nèi)網(wǎng)帶寬，有時(shí)延
• 所有web-server都包含所有session數(shù)據(jù)，數(shù)據(jù)量受內(nèi)存限制，無法水平擴(kuò)展
• 有更多web-server時(shí)要歇菜

方案二：客戶端存儲(chǔ)法。

思路：服務(wù)端存儲(chǔ)所有用戶的session，內(nèi)存占用較大，可以將session存儲(chǔ)到瀏覽器cookie中，每個(gè)端只要存儲(chǔ)一個(gè)用戶的數(shù)據(jù)了。

優(yōu)點(diǎn)：服務(wù)端不需要存儲(chǔ)。

缺點(diǎn)：

• 每次http請(qǐng)求都攜帶session，占外網(wǎng)帶寬
• 數(shù)據(jù)存儲(chǔ)在端上，并在網(wǎng)絡(luò)傳輸，存在泄漏、篡改、竊取等安全隱患
• session存儲(chǔ)的數(shù)據(jù)大小受cookie限制

“端存儲(chǔ)”的方案雖然不常用，但確實(shí)是一種思路。

方案三+方案四：反向代理hash一致性。

思路：web-server為了保證高可用，有多臺(tái)冗余，反向代理層能不能做一些事情，讓同一個(gè)用戶的請(qǐng)求保證落在一臺(tái)web-server上呢？

其一，四層代理hash。

反向代理層使用用戶ip來做hash，以保證同一個(gè)ip的請(qǐng)求落在同一個(gè)web-server上。

其二，七層代理hash。

反向代理使用http協(xié)議中的某些業(yè)務(wù)屬性來做hash，例如sid，city_id，user_id等，能夠更加靈活的實(shí)施hash策略，以保證同一個(gè)瀏覽器用戶的請(qǐng)求落在同一個(gè)web-server上。

優(yōu)點(diǎn)：

• 只需要改nginx配置，不需要修改應(yīng)用代碼
• 負(fù)載均衡，只要hash屬性是均勻的，多臺(tái)web-server的負(fù)載是均衡的
• 可以支持web-server水平擴(kuò)展

不足：

• 如果web-server重啟，一部分session會(huì)丟失，產(chǎn)生業(yè)務(wù)影響，例如部分用戶重新登錄
• 如果web-server水平擴(kuò)展，rehash后session重新分布，也會(huì)有一部分用戶路由不到正確的session
• 
  
• session一般是有有效期的，所有不足中的兩點(diǎn)，可以認(rèn)為等同于部分session失效，一般問題不大。

對(duì)于四層hash還是七層hash，個(gè)人推薦前者：讓專業(yè)的軟件做專業(yè)的事情，反向代理就負(fù)責(zé)轉(zhuǎn)發(fā)，盡量不要引入應(yīng)用層業(yè)務(wù)屬性。

方案五：后端統(tǒng)一存儲(chǔ)。

思路：將session存儲(chǔ)在web-server后端的存儲(chǔ)層，數(shù)據(jù)庫或者緩存。

優(yōu)點(diǎn)：

• 沒有安全隱患
• 可以水平擴(kuò)展，數(shù)據(jù)庫/緩存水平切分即可
• web-server重啟或者擴(kuò)容都不會(huì)有session丟失

不足：增加了一次網(wǎng)絡(luò)調(diào)用，并且需要修改應(yīng)用代碼。

對(duì)于db存儲(chǔ)還是cache，個(gè)人推薦后者：session讀取的頻率會(huì)很高，數(shù)據(jù)庫壓力會(huì)比較大。如果有session高可用需求，cache可以做高可用，但大部分情況下session可以丟失，一般也不需要考慮高可用。

總結(jié)

保證session一致性的架構(gòu)設(shè)計(jì)常見方法：

• session同步法：多臺(tái)web-server相互同步數(shù)據(jù)
• 客戶端存儲(chǔ)法：一個(gè)用戶只存儲(chǔ)自己的數(shù)據(jù)
• 反向代理四層hash一致性：保證一個(gè)用戶的請(qǐng)求落在一臺(tái)web-server上
• 反向代理七層hash一致性：保證一個(gè)用戶的請(qǐng)求落在一臺(tái)web-server上
• 后端統(tǒng)一存儲(chǔ)：web-server重啟和擴(kuò)容，session也不會(huì)丟失（用得最多）

知其然，知其所以然。

思路比結(jié)論更重要。