session的原理

Posted 2023-04-06

网上对于session的讲解很多，我就说说自己的理解吧
1.session是通过键值对存储的。也就是说一个变量名对应一个值，session一般存储在内存中，存储时，输入变量名和值就可以

2.与session类似的有cookie，request，application等等，原理大多一样，区别就在于这些变量的存储有效期和存储范围，cookie一般的有效期根据系统设置不同而不同，主要用在比如用户登录方面，简单来说关闭浏览器时cookie的内容也不会消失。session和cookie差不多，区别就在于关闭浏览器后变量就失效了。
request只是存在于一次画面请求中，也就是说画面提交之后，变量就失效了。
application是全局的，每个用户都会调用到该变量，比如帖子的浏览量信息。 参考技术A 1、session的存放处
容器为每个部署的web应用维护一个context，每个context与一个manager关联，这个manager就管理着所有的session。
2、session的产生时机
当用户在某个地方请求session的时候，实际是这样的：request请求session，首先会找到关联的servletcontext，然后由这个servletcontext找到关联的context，然后由context找到关联的manager，然后调用它的获取session的方法，如果session不存在，则为其创建一个，返回。
3、session的超时
容器有后台线程在执行一些周期性的任务，而检查session是否超时就是其中之一。默认tomcat的session的超时是30分钟，这个值是设置在context的。当后台线程判断出一个session的最后访问时间距离当前的时间时长大于设置的最大空闲时间时，就会将其收回，即失效了。 参考技术B 我理解的session是把一些变量存放到里面，在哪用到都能用到，它可以跨页面式的提交东西，比post取值要方便

session 的工作原理

一直在使用session存储数据，一直没有好好总结一下session的使用方式以及其工作原理，今天在这里做一下梳理。
这里的介绍主要是基于php语言，其他的语言操作可能会有差别，但基本的原理不变。

 

1.在php中如何操作session:

session_start();   //使用该函数打开session功能

$_SESSION      　//使用预定义全局变量操作数据

使用unset($_SESSION[‘key‘]) //销毁一个session的值

简单地操作，一切都是由服务器实现；由于处理在后台，一切看起来也很安全。但是session采用什么样机制，又是怎样被实现，并且如何来保持会话的状态的呢？

 

2.session实现与工作原理

浏览器和服务器采用http无状态的通讯，为了保持客户端的状态，使用session来达到这个目的。然而服务端是怎么样标示不同的客户端或用户呢？
这里我们可以使用生活中的一个例子，假如你参加一个晚会，认识了很多人，你会采取什么方式来区分不同的人呢！你可能根据脸型，也有可能根据用户的名字，
或者人的身份证，即采用一个独一无二的标示。在session机制中，也采用了这样的一个唯一的session_id来标示不同的用户，不同的是：浏览器每次请求都会带上
由服务器为它生成的session_id.

简单介绍一下流程：当客户端访问服务器时，服务器根据需求设置session，将会话信息保存在服务器上，同时将标示session的session_id传递给客户端浏览器，
浏览器将这个session_id保存在内存中(还有其他的存储方式，例如写在url中)，我们称之为无过期时间的cookie。浏览器关闭后，这个cookie就清掉了，它不会存在用户的cookie临时文件。
以后浏览器每次请求都会额外加上这个参数值，再服务器根据这个session_id，就能取得客户端的数据状态。

如果客户端浏览器意外关闭，服务器保存的session数据不是立即释放，此时数据还会存在，只要我们知道那个session_id,就可以继续通过请求获得此session的信息；但是这个时候后台的session还存在，但是session的保存有一个过期
时间，一旦超过规定时间没有客户端请求时，他就会清除这个session。

下面介绍一下session的存储机制，默认的session是保存在files中，即以文件的方式保存session数据。在php中主要根据php.ini的配置session.save_handler
 来选择保存session的方式。

这里顺便说明一下，如果要做服务器的lvs，即多台server的话，我们一般使用memcached的方式session，否则会导致一些请求找不到session。
一个简单的memcache配置：
session.save_handler = memcache
session.save_path = "tcp://10.28.41.84:10001"

当然如果一定要使用files文件缓存，我们可以将文件作nfs，将所有的保存session文件定位到一个地方。

刚才讲返回给用户的session-id最终保存在内存中，这里我们也可以设置参数将其保存在用户的url中。

 

3.实例问题
现有系统A,B; 假设A系统是可以独立运行的web系统，即可以和浏览器直接处理session， B系统是基于mobile的，需要调用A系统的功能接口，
在保持A不改变的情况下，即登陆验证，session存储都不变的情况下，B系统能处理前端用户的请求。

这里提供的方案是使用PHP实现

在用户登陆成功后，将保存的session的session-id返回给B系统，然后Ｂ系统每次请求其他接口都带session_id。
Ａ系统在session_start前加上session_id(session_id);

这样B系统就能安全的调用A