[转载]第三节 MemcachedProviders之SesstionStateProvider(关于Session的讨论) – 小城岁月 – 博客园.
- DefaultExpireTime 和 对象序列化存储
- SesstionStateProvider
<!--?xml version="1.0" encoding="utf-8" ?--> <!-- put your own server(s) here--> <!-- Define some output appenders --> <!-- <threshold value="OFF" />--> <!-- Setup the root category, add the appenders and set the default priority -->
在配置文件中可以看到使用了DistCache使用用的缓存策略是MemcachedCacheProvider,如果不需要分布式缓存我们利用WebCache可以继承CacheProvider重写一个缓存Provider注入到Discache中。
keySuffix代表 Key后缀 即给你的Key加后缀,以方便使用MemcachedCacheProvider的不同客户端区分各自的缓存数据
DefaultExpireTime 缓存数据有效期 毫秒为单位,虽然匹配了但默认不使用的,必须通过指定的方法实现
看一下测试代码
using System; using System.Collections.Generic; using System.Linq; using System.Text; using MemcachedProviders.Cache; using MemcachedProviders.Session; using System.Threading; namespace DemoTest { class Program { static void Main(string[] args) { //服务端缓存通行证数据10秒 DistCache.DefaultExpireTime = 10000; //假如用户登录成功 User user = new User(); user.Name = "小怜香"; user.Age = 20; user.Birthday = Convert.ToDateTime("1991-1-1"); user.Sex = false; user.IsLoginSucess = true; //生成通过证 string passCode = Guid.NewGuid().ToString(); Console.WriteLine("首次缓存数据-------------------8秒后读取"); //缓存用户信息(10秒) ,并将PassCode保存到Cookie中 DistCache.Add(passCode, user, true); //如何让用户在操作期间 缓存不过期呢? Thread.Sleep(8000); Console.WriteLine(DistCache.Get(passCode).Name); Console.WriteLine("重新缓存--------------9秒后再读取"); //从Cookie中获取PassCode ,通过PassCode从缓存中读取用户数据后重新缓存 //User newUser = DistCache.Get(passCode); //DistCache.Remove(passCode); DistCache.Add(passCode, user, DistCache.DefaultExpireTime); //Set方式重新缓存 (MemcacheProvider封装不是很好)用第一方式设置还是Add Thread.Sleep(8000); //如果上面的代码没有刷新缓存至10秒 那下面的代码肯定会超时 if(DistCache.Get(passCode)!=null) Console.WriteLine(DistCache.Get(passCode).Name); else Console.WriteLine("因为没有操作,缓存未刷新,导致数据过期"); Console.WriteLine("3秒后再次读取数据----------"); Thread.Sleep(3000); if (DistCache.Get(passCode) != null) Console.WriteLine(DistCache.Get(passCode).Name); else Console.WriteLine("因为没有操作,缓存未刷新,导致数据过期"); //以上服务端的过程 即服务端用户登录数据先过期,PassCode取不到用户登录数据,可以判定为登录过期 //还有一种情况客户端Cookie先过期 导致无法取到PassCode,因此服务端就无法获取用户数据,可以判定为登录过期。 Console.ReadLine(); } [Serializable] public class User { public string Name { set; get; } public bool Sex { set; get; } public int Age { set; get; } public DateTime Birthday { set; get; } public bool IsLoginSucess { set; get; } } } }
using System; using System.Collections.Generic; using System.Linq; using System.Text; using MemcachedProviders.Cache; using MemcachedProviders.Session; using System.Threading; namespace DemoTest { class Program { static void Main(string[] args) { //服务端缓存通行证数据10秒 DistCache.DefaultExpireTime = 10000; //假如用户登录成功 User user = new User(); user.Name = "小怜香"; user.Age = 20; user.Birthday = Convert.ToDateTime("1991-1-1"); user.Sex = false; user.IsLoginSucess = true; //生成通过证 string passCode = Guid.NewGuid().ToString(); Console.WriteLine("首次缓存数据-------------------9秒后读取"); //缓存用户信息(10秒) ,并将PassCode保存到Cookie中 DistCache.Add(passCode, user, true); //如何让用户在操作期间 缓存不过期呢?当用户每一次操作或访问就刷新一下服务端的缓存 Thread.Sleep(9000); Console.WriteLine(DistCache.Get(passCode).Name); Console.WriteLine("取出数据重新缓存--------------9秒后再读取"); //从Cookie中获取PassCode ,通过PassCode从缓存中读取用户数据后重新缓存 User newUser = DistCache.Get(passCode); DistCache.Remove(passCode); DistCache.Add(passCode, newUser, true); Thread.Sleep(9000); //如果上面的代码没有刷新缓存至10秒 那下面的代码肯定会超时 if(DistCache.Get(passCode)!=null) Console.WriteLine(DistCache.Get(passCode).Name); else Console.WriteLine("因为没有操作,缓存未刷新,导致数据过期"); Console.WriteLine("持续11秒没有刷新操作,再次读取数据----------"); Thread.Sleep(2000); if (DistCache.Get(passCode) != null) Console.WriteLine(DistCache.Get(passCode).Name); else Console.WriteLine("因为没有操作,缓存未刷新,导致数据过期"); //以上服务端的过程 即服务端用户登录数据先过期,PassCode取不到用户登录数据,可以判定为登录过期 //还有一种情况客户端Cookie先过期 导致无法取到PassCode,因此服务端就无法获取用户数据,可以判定为登录过期。 Console.ReadLine(); } [Serializable] public class User { public string Name { set; get; } public bool Sex { set; get; } public int Age { set; get; } public DateTime Birthday { set; get; } public bool IsLoginSucess { set; get; } } } }
上面处理实现Session会话(不是ASP.NET的Session)的优点:
1.解决跨域,跨窗口的会话认证(针对ASP.NET的Session不跨窗口),解决A站点转B站点或重新打开浏览器访问的Session认证问题。
2.分布式缓存Session或PassCode,实现认证服务器负载均横。
3.效率要高于数据库。
缺点:
1.一台缓存服务器Down掉后,该服务器上所有Session或PassCode丢失,导致用户访问过期。
2.受分布式缓存读取数据命中率影响,一旦未命中则导致用户访问过期。
3.分布式缓存效率要低于传统缓存。
4.Cookie欺骗,伪造在有效期内的PassCode去骗取服务器认证。(这个问题无法避免,即使你用ASP.NET Session)
缺点的第1,2两条,我们可以通过重写MemcachedCacheProvider,增加写入数据库功能,同时这样做了也会因反复读写更新数据库而导致性能降低。当用户Cookie的PassCode还在有效期内,通过PassCode去找查缓存服务器中的用户登录信息,如果未查到(数据已过期或未命中亦或服务器Down掉),则去数据库中查找并确认是否已过期,如果未过期则读取并写入缓存中(针对服务器Down掉和丢失两种情况)。第3条是没有办法,实现分布式总是损失部分性能的。至于第4条可以通过加密解密的方式处理。 个人觉得在不是特别的情况下没必要增加数据库备份功能,因为你要反复读写更新数据库中这个缓存的有效期,以及过期后删除等操作。如果一定要保证Session不丢失,那建议还是直接保存数据库中,并在每次操作时更新数据的有效期。
Cookies跨域:正常的cookie只能在一个应用中共享,即一个cookie只能由创建它的应用获得。关于如何跨域读取Cookie方法很多,这里不介绍了。
URL后缀跨域:可将PassCode或SessionID通过URL后缀转到其它站点。(相比Cookie就暴露了,虽然可以加密弥补但是还是无法防止别人借用)
下面来看一下Memcahed实现Asp.net的Session缓存功能,这个是即实现了写入缓存中,又写入数据库中并实时更新有效期。
二、SesstionStateProvider
Session是由应用服务器维持的一个服务器端的存储空间,用户在连接服务器时,会由服务器生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间。而SessionID这一数据则是保存到客户端,用Cookie保存的,用户提交页面时,会将这一 SessionID提交到服务器端,来存取Session数据。这一过程,是不用开发人员干预的。所以一旦客户端禁用Cookie,那么Session可能会失效,也可能会传Url传递即xxx.aspx?SessionID=xxxxxxxxx的形式。
这么看来,Session的原理其实和我们前面的设计的Cookie+PassCode+缓存功能是一致的。即打开浏览器请求后会产生一个Session会话,该会话有一个唯一标识SessionID(相当于PassCode),当用户登录后成功后,将用户登录信息缓存至对应用SessionID的Session存储中(相当于缓存)。当响应返回客户端后,SessionID被保存在Cookie中。当下一次请求回来时,服务端会根据Cookie中的SessionID从Session存储中取出对应的Session,绑到上下文中。然后从上下文中的Session获取相应的用户信息。
既然原理相同,那不可避免的都会碰到同样类似的问题:
1.Session丢失
2.Cookie或URL后缀参数SessionID一样可以欺骗
3.跨站点,跨浏览器,跨窗口等等访问一样无法通行。
有人说利用Cookie+Session ,即Session存储的用户信息及其它可能更多的数据保存到Cookie中。
1.在Cookie有效期内Session丢失了,即从Cookie中取回所有数据绑回HttpContext的Session中。
2.跨站点,跨浏览器,跨窗口时,在Cookie有效期内将Session绑至其它站点。
3.加密解决欺骗问题
这个时候Cookie除了传递认证标识,还兼具了弥补Session丢失和跨域的一个存储载体了,即取代了Session备份数据库的功能。那谁主导数据有效期控制呢?Session本身过期了,而Cookie没有过期,这样导致了客户端一直有权限访问站点。并且大量的信息被保存在客户端中,虽然加密了,但仍可借用骗取通行。因此不提倡这种做法,Cookie本身是轻量型的,最好只担当SessionID或PassCode等标识或一些客户端自定义性的数据的保存和传递工作。所归根到底,关于会话凭据及会话信息的备份工作是由谁来做?无疑这一块还是交给数据库来做最放心了,但实时的验证工作还是交给缓存或Session存储本身来处理。
当然你可以选择使用Cookie+asp.net Session+SQL备份兼跨域,或直接使用Cookie+PassCode+分布式缓存跨域+SQL备份的方案。
甚至也可以两者接合或 Cookie+asp.net Session+分布式缓存跨域+SQL备份。终于扯到了下面的内容了:
Asp.net 本身提供了sessionState的策略注入方案,看一下web.config的配置文件
通过继承SessionStateStoreProviderBase重写Provider可以实现对Session的进一步处理。即HttpApplication管线进入HttpHandler的时候,SessionStateStoreProviderBase会重新创建Session绑定到HttpContext中,并根据SessionID从对应的存储体读取数据初始化这个Session,当HttpHandler结束请求时,又会调用SessionStateStoreProviderBase将从HttpContext中读取新进Session的数据保存到对应的存储体(字典集合,缓存,数据库,分布式缓存等),并且清除掉过期的数据,至此Session清除,整个过程是循环往复的,也就是说Session只存在HttpHandler请求期间。
MemcachedProviders/SessionStateProvider在HttpHandler处理请求结束前,从HttpContext读取Session并写入或更新到Memcahed缓存服务器中,同时清除掉Memcahed中过期的数据,同时也触发了数据库相应的操作(更新缓存有效期,删除过期数据)。当下次请求至HttpHandler阶段,Memcached又根SessionID读取缓存中的Session绑回到HttpContext中。所以我们从HttpContext读取的Session,都是从Memcahed缓存中读取的。
可以看到providers的节点中MemcachedSessionProvider的属性connectionStringName=”SqlSessionServices” 指向了一个数据库连接。