1.美好的舊時光

我經(jīng)常懷念三十年前那美好的舊時光， 工作很輕松， 生活很悠閑。

上班的時候偶爾有些HTTP的請求發(fā)到我這里， 我簡單的看一下， 取出相對應(yīng)的html文檔，圖片，發(fā)回去就可以了， 然后就可以繼續(xù)喝茶聊天。

我的創(chuàng)造者們對我很好， 他們制定的一個簡單HTTP協(xié)議， 就是請求加響應(yīng)， 尤其是我不用記住是誰剛剛發(fā)了HTTP請求， 每個請求對我來說都是全新的!

郵件服務(wù)器很羨慕我， 他說：老弟，你的生活太愜意了， 哪像我， 每次有人從客戶端訪問郵箱， 我都得專門給他建立一個會話， 來處理他發(fā)的消息， 你倒好， 完全不用管理會話。

這是由應(yīng)用的特性決定的， 如果郵件服務(wù)器不管理會話， 那多個人之間的郵件消息就會完全混到一起了， 亂作一團(tuán)了。

而30年前的Web 基本上就是文檔的瀏覽而已， 既然是瀏覽，我作為一個服務(wù)器， 為什么要記住誰在一段時間里都瀏覽了什么文檔呢?

2.Session

但是好日子沒持續(xù)多久， 很快大家就不滿足于靜態(tài)的Html 文檔了， 交互式的Web應(yīng)用開始興起， 尤其是論壇， 在線購物等網(wǎng)站。

我馬上就遇到了和郵件服務(wù)器一樣的問題， 那就是必須管理會話，必須記住哪些人登錄系統(tǒng)， 哪些人往自己的購物車中放了商品， 也就是說我必須把每個人區(qū)分開。

這對我來說是個不小的挑戰(zhàn)， 由于HTTP協(xié)議的無狀態(tài)特性， 我必須加點(diǎn)小手段，才能完成會話管理。

我想出的辦法就是給大家發(fā)一個會話標(biāo)識(session id), 說白了就是一個隨機(jī)的字符串，每個人收到的都不一樣， 每次大家向我發(fā)起HTTP請求的時候，把這個字符串給一并捎過來， 這樣我就能區(qū)分開誰是誰了。

3.沉重的負(fù)擔(dān)

大家都很高興， 可是我就不爽了。

每個人只需要保存自己的session id，而我需要保存所有人的session id ! 如果訪問我的人多了， 就得由成千上萬，甚至幾十萬個。

這對我來說是一個巨大的開銷 ， 嚴(yán)重的限制了我的擴(kuò)展能力， 比如說我用兩個機(jī)器組成了一個集群， 小F通過機(jī)器A登錄了系統(tǒng)， 那session id會保存在機(jī)器A上， 假設(shè)小F的下一次請求被轉(zhuǎn)發(fā)到機(jī)器B怎么辦? 機(jī)器B可沒有小F的 session id啊。

有時候我會采用一點(diǎn)小伎倆： session sticky ， 就是讓小F的請求一直粘連在機(jī)器A上， 但是這也不管用， 要是機(jī)器A掛掉了， 還得轉(zhuǎn)到機(jī)器B去。

那我只好做session 的復(fù)制了， 把session id 在兩個機(jī)器之間搬來搬去， 快累死了。

后來有個叫Memcached的給我支了招： 把session id 集中存儲到一個地方， 所有的機(jī)器都來訪問這個地方的數(shù)據(jù)， 這樣一來，就不用復(fù)制了， 但是增加了單點(diǎn)失敗的可能性， 要是那個負(fù)責(zé)session 的機(jī)器掛了， 所有人都得重新登錄一遍， 估計得被人罵死。

我也嘗試把這個單點(diǎn)的機(jī)器也搞出集群，增加可靠性， 但不管如何， 這小小的session 對我來說是一個沉重的負(fù)擔(dān)。

4.時間換空間

這幾天的晚上我一直在思考， 我為什么要保存這可惡的session呢， 只讓每個客戶端去保存該多好?

可是如果我不保存這些session id , 我怎么驗(yàn)證客戶端發(fā)給我的session id 的確是我生成的呢? 如果我不去驗(yàn)證，我都不知道他們是不是合法登錄的用戶， 那些不懷好意的家伙們就可以偽造session id , 為所欲為了。

嗯，對了，關(guān)鍵點(diǎn)就是驗(yàn)證 !

比如說， 小F已經(jīng)登錄了系統(tǒng)， 我給他發(fā)一個令牌(token)， 里邊包含了小F的 user id， 下一次小F 再次通過Http 請求訪問我的時候， 把這個token 通過Http header 帶過來不就可以了。

不過這和session id沒有本質(zhì)區(qū)別啊， 任何人都可以可以偽造， 所以我得想點(diǎn)兒辦法， 讓別人偽造不了。

那就對數(shù)據(jù)做一個簽名吧， 比如說我用HMAC-SHA256 算法，加上一個只有我才知道的密鑰， 對數(shù)據(jù)做一個簽名， 把這個簽名和數(shù)據(jù)一起作為token ， 由于密鑰別人不知道， 就無法偽造token了。

這個token 我不保存， 當(dāng)小F把這個token 給我發(fā)過來的時候，我再用同樣的HMAC-SHA256 算法和同樣的密鑰，對數(shù)據(jù)再計算一次簽名， 和token 中的簽名做個比較， 如果相同， 我就知道小F已經(jīng)登錄過了，并且可以直接取到小F的user id , 如果不相同， 數(shù)據(jù)部分肯定被人篡改過， 我就告訴發(fā)送者： 對不起，沒有認(rèn)證。

Token 中的數(shù)據(jù)是明文保存的(雖然我會用Base64做下編碼， 但那不是加密)， 還是可以被別人看到的， 所以我不能在其中保存像密碼這樣的敏感信息。

當(dāng)然， 如果一個人的token 被別人偷走了， 那我也沒辦法， 我也會認(rèn)為小偷就是合法用戶， 這其實(shí)和一個人的session id 被別人偷走是一樣的。

這樣一來， 我就不保存session id 了， 我只是生成token , 然后驗(yàn)證token ， 我用我的CPU計算時間獲取了我的session 存儲空間 !

解除了session id這個負(fù)擔(dān)， 可以說是無事一身輕， 我的機(jī)器集群現(xiàn)在可以輕松地做水平擴(kuò)展， 用戶訪問量增大， 直接加機(jī)器就行。 這種無狀態(tài)的感覺實(shí)在是太好了!

【本文為51CTO專欄作者“劉欣”的原創(chuàng)稿件，轉(zhuǎn)載請通過作者微信公眾號coderising獲取授權(quán)】

戳這里，看該作者更多好文