session 一致性的解决方案

什么是session？

服务器为每个用户创建一个会话，存储用户的相关信息，以便多次请求能够定位到同一个上下文，这个相关信息就是session。这样，当用户在应用程序的Web页之间跳转时，存储在session对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。

session是对http无状态协议的补充，达到状态保持的目的

什么是session一致性问题？

假设用户包含登录信息的session都记录在第一台server上，反向代理如果将请求路由到另一台server上，可能就找不到相关信息，而导致用户需要重新登录。

解决方法

1. 客户端保存cookie

1. 服务端不需要存储
2. 每次http请求都携带session，占网络带宽
3. 数据存储在客户端上，并在网络传输，存在泄漏、篡改等安全隐患
4. session存储的数据大小受cookie限制

2. session复制方法

1. 只需要设定配置，应用程序不需要修改代码
2. session的同步需要数据传输，占内网带宽，有延时
3. 所有server都包含所有session数据，数据量受最小内存的sever限制，水平拓展能力差

3. session中心存储

1. 没有安全隐患
2. 可以水平扩展，支持缓存集群或横向拓展
3. 增加了一次网络调用
4. 需要修改应用代码

4. session会话粘连

session会话粘连：英文原词为"Sticky Sessions"

• 思路：
  反向代理层让同一个用户的请求保证落在一台server上呢？

• 方法一：四层代理hash。反向代理层使用用户ip来做hash，以保证同一个ip的请求落在同一个server上（更推荐，保证传输层不引入业务层的逻辑）

• 方法二：七层代理hash。反向代理使用http协议中的某些业务属性来做hash，例如sid，city_id，user_id等，能够更加灵活的实施hash策略，以保证同一个浏览器用户的请求落在同一个server上

• 优点：

1. 只需要改nginx配置，不需要修改应用代码
2. 可以支持server水平扩展
3. server水平扩展，rehash后session重新分布，会有一部分用户路由不到正确的session
4. 即使hash散列均匀，也不能保证server的负载均匀