一、前言

  • 什么是Session?

Session字面含义就是会话。由于HTTP是无状态协议,为了保持浏览器与服务器之间的联系,才有了Session。Session就是用于在服务器端保存用户状态的协议。通常用来保存用户的登录状态。
https://baike.baidu.com/item/session/479100

二、工作原理

  • Session是如何实现的?

Session内容保存在服务器端的,通常是保存在内存中,当然也可以保存在文件、数据库等等。客户端跟服务器端通过SessionId来关联,
SessionId通常以Cookie的形式存储在客户端。每次HTTP请求,SessionId都会随着Cookie被传递到服务器端,这行就可以通过SessionId取到对应的信息,来判断这个请求来自于哪个客户端/用户。

添加购物车场景示例:
image

  • 核心对象&职责
对象 职责
SessionId 负责标识客户端/用户
HTTP 负责传递SessionId
Cookie 负责保存SessionId
服务器 负责保存Session内容

Cookie可以说是Session技术中至关重要的一环。如果客户端禁用了Cookie,那么Seesion就无法正常工作。

是不是没有Cookie就一定无法工作?
答案是,不一定,通常情况下,SessionId均由Cookie负责保存,但是客户端跟服务器端通过HTTP交互,除了Cookie可以携带信息之外,URL也可以。不过对用户不友好,所以基本上没有互联网项目会采用这种方案。

无Cookie话Session方案下的URL示例:
https://ken.io/ABCDEFGXYZ/home/about
https://ken.io/ABCDEFGXYZ/category/web
基本上很少见到有应用采用这种方案

最后再强调一下,Session是一种协议,是保持用户状态的协议。
也就是说,只要能通过SessionId来识别客户端,并能将客户端对应的用户状态保存在服务器端,都可以认为是Session的实现。不论Session是保存在服务器内存,还是数据库,还是memcached、redis。

另外,各Web开发框架都会有Session的实现,不论是ASP.NET还是Java Servlet。另外,通常Seesion内容都会默认保存在Web应用所在的服务器,SessionId保存在Cookie中。

目前ken.io已知的:ASP.NET有无Cookie的Session实现方案,
Java Servlet没有。

三、使用建议/经验

1、建议&经验

  • Session中保存的数据的大小要考虑到存储上线不论是内存还是数据库
  • Session中不要存储不可恢复的内容
  • 依赖Session的关键业务一定要确保客户端开启了Cookie
  • 注意Session的过期时间
  • 在负载均衡的情况下,由于存在Web服务器内存中的Session无法共享,通常需要重写Session的实现。

2、常见的Session丢失的问题

  • Session内容的丢失都是有原因的,通常都是由于Web服务器的重启造成的,比如IIS、Tomcat的重启