淺談Spring Session工作原理

更新時間：2021年06月18日 08:41:20 作者：vivo互聯(lián)網(wǎng)技術

Spring Session是為了解決多進程session共享的問題，本文將介紹怎么使用Spring Session，以及Spring Session工作原理

1、引入背景

HTTP協(xié)議本身是無狀態(tài)的，為了保存會話信息，瀏覽器Cookie通過SessionID標識會話請求，服務器以SessionID為key來存儲會話信息。在單實例應用中，可以考慮應用進程自身存儲，隨著應用體量的增長，需要橫向擴容，多實例session共享問題隨之而來。

應用部署在Tomcat時，session是由Tomcat內(nèi)存維護，如果應用部署多個實例，session就不能共享。Spring Session就是解決為了解決分布式場景中的session共享問題。

2、使用方法

Spring Session支持存儲在Hazelcast 、Redis、MongoDB、關系型數(shù)據(jù)庫，本文主要討論session存儲在Redis。

web.xml配置：

<!-- spring session -->
  <filter>
    <filter-name>springSessionRepositoryFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSessionRepositoryFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Spring 主要配置：

<!--創(chuàng)建了一個RedisConnectionFactory，它將Spring會話連接到Redis服務器-->
    <bean id="jedisConnectionFactory" class="org.springframework.data.redis.connection.jedis.JedisConnectionFactory">
        <!--配置Redis連接池 ，可以不配置，使用默認就行！-->
        p:poolConfig-ref="jedisPoolConfig"
    </bean>
 
    <!--創(chuàng)建一個Spring Bean的名稱springSessionRepositoryFilter實現(xiàn)過濾器-->
    <bean class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration">
        <!--默認session時效30分鐘-->
        <property name="maxInactiveIntervalInSeconds" value="60" />
    </bean>

3、工作流程

Tomcat web.xml解析步驟：

contextInitialized(ServletContextEvent arg0); // Listener
init(FilterConfig filterConfig); // Filter
init(ServletConfig config); // Servlet

初始化順序：Listener > Filter > Servlet。

1) 通過 Tomcat 的 listener 把SessionRepositoryFilter加載到Spring容器中。

上一小節(jié)Spring配置文件里面聲明了RedisHttpSessionConfiguration，正是在其父類SpringHttpSessionConfiguration中生成了SessionRepositoryFilter：

@Bean
public <S extends ExpiringSession> SessionRepositoryFilter<? extends ExpiringSession> springSessionRepositoryFilter(
        SessionRepository<S> sessionRepository) {
    ......
    return sessionRepositoryFilter;
}

RedisHttpSessionConfiguration類繼承關系

2) filter初始化

web.xml里面配置的filter是DelegatingFilterProxy。

DelegatingFilterProxy類繼承關系

DelegatingFilterProxy初始化入口在其父類GenericFilterBean中：

public final void init(FilterConfig filterConfig) throws ServletException {
        ......
        // Let subclasses do whatever initialization they like.
        initFilterBean();
        ......
    }

DelegatingFilterProxy去Spring容器取第1步初始化好的springSessionRepositoryFilter：

protected void initFilterBean() throws ServletException {
        synchronized (this.delegateMonitor) {
            if (this.delegate == null) {
                // If no target bean name specified, use filter name.
                if (this.targetBeanName == null) {
                    //targetBeanName 為springSessionRepositoryFilter
                    this.targetBeanName = getFilterName();
                }
                WebApplicationContext wac = findWebApplicationContext();
                if (wac != null) {
                    this.delegate = initDelegate(wac);
                }
            }
        }
    }

至此 sessionRepositoryFilter 初始化完成，DelegatingFilterProxy 實際代理了SessionRepositoryFilter。

SessionRepositoryFilter 工作核心流程：

protected void doFilterInternal(HttpServletRequest request,
           HttpServletResponse response, FilterChain filterChain)
           throws ServletException, IOException {
       request.setAttribute(SESSION_REPOSITORY_ATTR, this.sessionRepository);
       //包裝了HttpServletRequest，覆寫了HttpServletRequest中 getSession(boolean create)方法
       SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(
               request, response, this.servletContext);
             ......
       try {
           filterChain.doFilter(strategyRequest, strategyResponse);
       }
       finally {
           //保證session持久化
           wrappedRequest.commitSession();
       }
   }

4、緩存機制

每一個session，Redis實際緩存的數(shù)據(jù)如下：

spring:session:sessions:1b8b2340-da25-4ca6-864c-4af28f033327
spring:session:sessions:expires:1b8b2340-da25-4ca6-864c-4af28f033327
spring:session:expirations:1557389100000

spring:session:sessions為hash結構，存儲Spring Session的主要內(nèi)容：

hgetall spring:session:sessions:1b8b2340-da25-4ca6-864c-4af28f033327

1) "creationTime"

2) "\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01j\x9b\x83\x9d\xfd"

3) "maxInactiveInterval"

4) "\xac\xed\x00\x05sr\x00\x11java.lang.Integer\x12\xe2\xa0\xa4\xf7\x81\x878\x02\x00\x01I\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\a\b"

5) "lastAccessedTime"

6) "\xac\xed\x00\x05sr\x00\x0ejava.lang.Long;\x8b\xe4\x90\xcc\x8f#\xdf\x02\x00\x01J\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x01j\x9b\x83\x9d\xfd"

spring:session:sessions:expires 為 string 結構，存儲一個空值。

spring:session:expirations為set結構，存儲1557389100000 時間點過期的spring:session:sessions:expires鍵值：

smembers spring:session:expirations:1557389100000

1) "\xac\xed\x00\x05t\x00,expires:1b8b2340-da25-4ca6-864c-4af28f033327"

RedisSessionExpirationPolicy，三個鍵值生成流程：

public void onExpirationUpdated(Long originalExpirationTimeInMilli,
            ExpiringSession session) {
        String keyToExpire = "expires:" + session.getId();
        long toExpire = roundUpToNextMinute(expiresInMillis(session));
                ......
        //把spring:session:sessions:expires加入到spring:session:expirations開頭的key里面
        String expireKey = getExpirationKey(toExpire);
        BoundSetOperations<Object, Object> expireOperations = this.redis
                .boundSetOps(expireKey);
        expireOperations.add(keyToExpire);
 
        long fiveMinutesAfterExpires = sessionExpireInSeconds
                + TimeUnit.MINUTES.toSeconds(5);
        //spring:session:expirations開頭的key過期時間為xml配置的時間后五分鐘
        expireOperations.expire(fiveMinutesAfterExpires, TimeUnit.SECONDS);
        if (sessionExpireInSeconds == 0) {
            this.redis.delete(sessionKey);
        }
        else {
            //spring:session:sessions:expires開頭的key過期時間為xml配置的時間
            this.redis.boundValueOps(sessionKey).append("");
            this.redis.boundValueOps(sessionKey).expire(sessionExpireInSeconds,
                    TimeUnit.SECONDS);
        }
        //spring:session:sessions開頭的key過期時間為xml配置的時間后五分鐘
        this.redis.boundHashOps(getSessionKey(session.getId()))
                .expire(fiveMinutesAfterExpires, TimeUnit.SECONDS);
    }

Redis過期鍵有三種刪除策略，分別是定時刪除，惰性刪除，定期刪除。

定時刪除：通過維護一個定時器，過期馬上刪除，是最有效的，但是也是最浪費cpu時間的。
惰性刪除：程序在取出鍵時才判斷它是否過期，過期才刪除，這個方法對cpu時間友好，對內(nèi)存不友好。
定期刪除：每隔一定時間執(zhí)行一次刪除過期鍵的操作，并限制每次刪除操作的執(zhí)行時長和頻率，是一種折中。

Redis采用了惰性刪除和定期刪除的策略。由此可見依賴 Redis 的過期策略實時刪除過期key是不可靠的。

另外一方面，業(yè)務可能會在Spring Session過期后做業(yè)務邏輯處理，同時需要session里面的信息，如果只有一個 spring:session:sessions鍵值，那么Redis刪除就刪除了，業(yè)務沒法獲取session信息。

spring:session:expirations鍵中存儲了spring:session:sessions:expires鍵，而spring:session:sessions:expires鍵過期五分鐘早于spring:session:expirations鍵和spring:session:sessions鍵（實際Spring Session對于過期事件處理訂閱的spring:session:sessions:expires鍵，下一節(jié)會具體講），這樣在訂閱到過期事件時還能獲取spring:session:sessions鍵值。

如果通過Redis本身清理機制未及時清除spring:session:sessions:expires，可以通過Spring Session提供的定時任務兜底，保證spring:session:sessions:expires清除。

RedisSessionExpirationPolicy，session清理定時任務

public void cleanExpiredSessions() {
        long now = System.currentTimeMillis();
        long prevMin = roundDownMinute(now);
        ......
        //獲取到spring:session:expirations鍵
        String expirationKey = getExpirationKey(prevMin);
        // 取出當前這一分鐘應當過期的 session
        Set<Object> sessionsToExpire = this.redis.boundSetOps(expirationKey).members();
        // 注意：這里刪除的是spring:session:expirations鍵，不是刪除 session 本身！
        this.redis.delete(expirationKey);
        for (Object session : sessionsToExpire) {
            String sessionKey = getSessionKey((String) session);
            //遍歷一下spring:session:sessions:expires鍵
            touch(sessionKey);
        }
    }
 
    /**
     * By trying to access the session we only trigger a deletion if it the TTL is
     * expired. This is done to handle
     * https://github.com/spring-projects/spring-session/issues/93
     *
     * @param key the key
     */
    private void touch(String key) {
        //并不是直接刪除 key，而只是訪問 key，通過惰性刪除確保spring:session:sessions:expires鍵實時刪除，
        // 同時也保證多線程并發(fā)續(xù)簽的場景下，key移動到不同spring:session:expirations鍵里面時，
        //以spring:session:sessions:expires鍵實際ttl時間為準
        this.redis.hasKey(key);
    }

5、事件訂閱

ConfigureNotifyKeyspaceEventsAction，開啟鍵空間通知：

public void configure(RedisConnection connection) {
       String notifyOptions = getNotifyOptions(connection);
       String customizedNotifyOptions = notifyOptions;
       if (!customizedNotifyOptions.contains("E")) {
           customizedNotifyOptions += "E";
       }
       boolean A = customizedNotifyOptions.contains("A");
       if (!(A || customizedNotifyOptions.contains("g"))) {
           customizedNotifyOptions += "g";
       }
       if (!(A || customizedNotifyOptions.contains("x"))) {
           customizedNotifyOptions += "x";
       }
       if (!notifyOptions.equals(customizedNotifyOptions)) {
           connection.setConfig(CONFIG_NOTIFY_KEYSPACE_EVENTS, customizedNotifyOptions);
       }
   }

RedisHttpSessionConfiguration，注冊監(jiān)聽事件：

@Bean
 public RedisMessageListenerContainer redisMessageListenerContainer(
         RedisConnectionFactory connectionFactory,
         RedisOperationsSessionRepository messageListener) {
             ......
     //psubscribe del和expired事件
     container.addMessageListener(messageListener,
             Arrays.asList(new PatternTopic("__keyevent@*:del"),
                     new PatternTopic("__keyevent@*:expired")));
     //psubscribe created事件
     container.addMessageListener(messageListener, Arrays.asList(new PatternTopic(
             messageListener.getSessionCreatedChannelPrefix() + "*")));
     return container;
 }

RedisOperationsSessionRepository，事件處理：

public void onMessage(Message message, byte[] pattern) {
      ......
      if (channel.startsWith(getSessionCreatedChannelPrefix())) {
          ...
          //處理spring:session created事件
          handleCreated(loaded, channel);
          return;
      }
 
      //非spring:session:sessions:expires事件不做處理
      String body = new String(messageBody);
      if (!body.startsWith(getExpiredKeyPrefix())) {
          return;
      }
 
      boolean isDeleted = channel.endsWith(":del");
      if (isDeleted || channel.endsWith(":expired")) {
          ......
          if (isDeleted) {
              //處理spring:session:sessions:expires del事件
              handleDeleted(sessionId, session);
          }
          else {
              //處理spring:session:sessions:expires expired事件
              handleExpired(sessionId, session);
          }
          ......
          return;
      }
  }

事件訂閱樣例：

@Component
public class SessionExpiredListener implements ApplicationListener<SessionExpiredEvent> {
    @Override
    public void onApplicationEvent(SessionExpiredEvent event) {
        ......
    }
}

6、總結

Spring Session給我們提供了很好的分布式環(huán)境下資源共享問題解決思路，其基于Servlet 規(guī)范實現(xiàn)，業(yè)務使用時只需要簡單配置就可以實現(xiàn)session共享，做到與業(yè)務低耦合，這都是以后我們項目開發(fā)中可以借簽的設計理念。

以上就是淺談Spring Session工作原理的詳細內(nèi)容，更多關于Spring Session的資料請關注腳本之家其它相關文章！

您可能感興趣的文章:

Java SpringBoot模板引擎之 Thymeleaf入門詳解
jsp有著強大的功能，能查出一些數(shù)據(jù)轉發(fā)到JSP頁面以后，我們可以用jsp輕松實現(xiàn)數(shù)據(jù)的顯示及交互等，包括能寫Java代碼。但是，SpringBoot首先是以jar的方式，不是war；其次我們的tomcat是嵌入式的，所以現(xiàn)在默認不支持jsp
2021-10-10
啟用springboot security后登錄web頁面需要用戶名和密碼的解決方法
這篇文章主要介紹了啟用springboot security后登錄web頁面需要用戶名和密碼的解決方法,也就是使用默認用戶和密碼登錄的操作方法，本文結合實例代碼給大家介紹的非常詳細，需要的朋友可以參考下
2023-02-02
java開放地址法和鏈地址法解決hash沖突的方法示例
這篇文章主要介紹了java開放地址法和鏈地址法解決hash沖突的方法示例，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2019-12-12
任何Bean通過實現(xiàn)ProxyableBeanAccessor接口即可獲得動態(tài)靈活的獲取代理對象或原生對象的能力(最新推
這篇文章主要介紹了任何Bean通過實現(xiàn)ProxyableBeanAccessor接口即可獲得動態(tài)靈活的獲取代理對象或原生對象的能力,通過示例代碼看到,借助ProxyableBeanAccessor接口默認實現(xiàn)的getReal、getProxy、selfAs方法,很靈活的按需獲取代理或非代理對象,需要的朋友可以參考下
2024-02-02
解決java連接虛擬機Hbase無反應的問題
這篇文章主要介紹了解決java連接虛擬機Hbase無反應的問題，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2022-06-06
java基礎的詳細了解第二天
這篇文章對Java編程語言的基礎知識作了一個較為全面的匯總，在這里給大家分享一下。需要的朋友可以參考，希望能給你帶來幫助
2021-08-08
Java 安全模型，你了解了嗎
這篇文章主要介紹了Java 安全模型。Java的安全模型是其多個重要結構特點之一，它使Java成為適用于網(wǎng)絡環(huán)境的技術。Java安全模型側重于保護終端用戶免受從網(wǎng)絡下載的、來自不可靠來源的、惡意程序(以及善意程序中的bug)的侵犯。,需要的朋友可以參考下
2019-06-06
SpringBoot3使用Jasypt加密數(shù)據(jù)庫用戶名、密碼等敏感信息
使用Jasypt（Java Simplified Encryption）進行數(shù)據(jù)加密和解密主要涉及幾個步驟,包括引入依賴、配置加密密碼、加密敏感信息、將加密信息存儲到配置文件中,以下是詳細的使用說明,需要的朋友可以參考下
2024-07-07
java 如何讀取properties文件
這篇文章主要介紹了java 如何讀取properties文件，幫助大家更好的理解和使用Java，感興趣的朋友可以了解下
2020-11-11
詳解Java?Unsafe如何花式操作內(nèi)存
C++可以動態(tài)的分類內(nèi)存，而java并不能這樣，是不是java就不能操作內(nèi)存呢，其實是有其他辦法可以操作內(nèi)存的，下面就一起看看Unsafe是如何花式操作內(nèi)存的吧
2023-08-08