Rails:Session工作原理

How Rails Sessions Work
如果你的Rails应用不知道谁在访问它?如果同一个人请求两个不同的页面你不知道怎么处理?如果接到回应后所有保存的数据都消失?

对于大部分静态站点来说这没什么大不了的。但是大部分应用需要储存一些关于用户的信息。可能是user id,偏好语言或者类似于是否在ipad上呈现应用的桌面版本这样的设置。

Session是储存这类信息的完美方案。为多个请求保留的小数据量信息。

Session使用起来很简单:

session[:current_user_id] = @user.id

但是这其中蕴藏着一些魔法。什么是Session?Rails怎么知道向不同的用户呈现其对应的信息?以及如何决定存放Session信息的位置?

Session是什么?

Session是一个可以存储请求信息,使后续请求可以读取该信息的地方。

可以在一个action中设置数据:

    #app/controllers/sessions_controller.rb
    def create
    # ...
        session[:current_user_id] = @user.id
    # ...
    end

在另一个action中读取数据:

    #app/controllers/users_controller.rb
    def index
        current_user = User.find_by_id(session[:current_user_id])
    # ...
    end

Session在客户端浏览器和你的Rails应用之间进行了协调,将两者联系在了一起。而且是基于Cookie实现的。

当客户端请求页面时,服务器会在响应中设置一个Cookie

~ jweiss$ curl -I http://www.google.com | grep Set-Cookie
Set-Cookie: NID=67=J2xeyegolV0SSneukSOANOCoeuDQs7G1FDAK2j-nVyaoejz-4K6aouUQtyp5B_rK3Z7G-EwTIzDm7XQ3_ZUVNnFmlGfIHMAnZQNd4kM89VLzCsM0fZnr_N8-idASAfBEdS; expires=Wed, 16-Sep-2015 05:44:42 GMT; path=/; domain=.google.com; HttpOnly

浏览器会存储Cookie信息。在Cookie过期之前,每次发出请求时,浏览器都会将Cookie信息回传给服务器:

    ...
    > GET / HTTP/1.1
    > User-Agent: curl/7.37.1
    > Host: www.google.com
    > Accept: */*
    > Cookie: NID=67=J2xeyegolV0SSneukSOANOCoeuDQs7G1FDAK2j-    nVyaoejz-4K6aouUQtyp5B_rK3Z7G-      EwTIzDm7XQ3_ZUVNnFmlGfIHMAnZQNd4kM89VLzCsM0fZnr_N8-idASAfBEdS; expires=Wed, 16-Sep-2015 05:44:42 GMT; path=/; domain=.google.com; HttpOnly
    ...

Cookie看起来像一堆乱码,这是正常的,毕竟Cookie信息并不是给用户看的。Rails应用可以从Cookie中读取信息。Rails应用设置了它,当然也能读取它。

和Session有什么关系?

现在我们有了Cookie。在某次请求中设置了该值,在后续请求中得到同样的值。那么Cookie和Session的区别是什么呢?
默认情况下,在Rails中两者并没有很大的不同。Rails对Cookie做了处理来提高安全性,除此之外,像你预期的一样:在Rails应用中将数据存入Cookie,也可以将其取出来。从这一点来说,Session和Cookie确实没有任何区别。
(译注:这里指在Rails中的用法没有任何区别,而非概念上没有任何区别)

但是Cookie不总是存储Session数据的理想方案:

  • 只能在Cookie中存储4kb的数据。
    通常情况下够了,但有时不满足
  • Cookie在你每次发出的请求中携带。
    大的Cookie信息意味着更大数据量的请求(request)响应(reponse),意味着更慢的网站。
  • 如果不小心暴露了secret_key_base,用户可以修改Cookie中的信息。
    当Cookie中包含类似current_user_id这样的信息时,每个人都可能进行身份冒充。
  • 在Cookie中保存错误类型的数据是不安全的。
    如果小心一点,没有什么大问题。

当你因为以上一些原因不能选用Cookie来保存Sessio信息时,Rails还提供了其他一些方式来保存Session信息。
(译注:通常使用cookie来保存session_id)

可选择的Session存储方案

其他的Session存储方案和使用Cookie储存Session的方式类似。我们来举一个真实的例子帮助理解。
如果使用ActiveRecord纪录Session

  1. 当调用session[:current_session_id] = 1时,Session实际上还没有存在。
  2. Rails会在session表中使用随机的Session id(例如:09497d46978bf6f32265fefb5cc52264)插入一条新纪录。
  3. 保存{current_user_id: 1}(base64编码)在该记录的data属性中。
  4. 将生成的session id(09497d46978bf6f32265fefb5cc52264)使用set-cookie返回给浏览器。

下次发出请求时,

  1. 浏览器使用Cookie头向服务器发送同样的Cookie信息(Cookie: _my_app_session=09497d46978bf6f32265fefb5cc52264;
    path=/; HttpOnly)
  2. 当调用session[:current_user_id]时
  3. 服务器取出cookie头中的session id,并在sessions表中找到这条纪录。
  4. 然后,返回该记录data属性的包含的current_user_id信息。

不管你将Session存储在数据库,memcached,redis或者其他的地方,几乎都遵循以上的过程。Cookie只存储session id,Rails应用使用session id在Session存储中查找相应的数据。

cookie存储,缓存存储还是数据库存储?

如果满足需求的话,将Session信息存储在Cookie中是最简单的方法。不需要额外的构造或者设置。
但是如果需要将Session从Cookie存储中移出的话,你有两个选项。
存储在数据库或存储在缓存。

在缓存中存储session信息

你可能已经使用了类似于memcache之类的来缓存你的局部页面或数据。考虑到缓存相关信息已经配置过了,缓存存储是存储Session数据第二简单的方式

不用担心Session存储增长过快,因为当缓存信息过大时,旧的Session信息会被自动清除。而且因为数据存储在缓存中类似于在内存中,访问速度是很快的。

但是这也不完美

  • 如果需要保存旧的Session信息,你可能不想让它们在缓存信息过多时被清除。
  • Session和缓存数据争夺空间。如果没有足够的空间,你可能面临缓存缺失和Session过早过期的问题。
  • 如果需要重置缓存时(例如升级rails,旧的缓存数据不再可用),只能将所有的Session信息过期。

在数据库中存储session信息

如果想存储Session信息直到它真正失效,应该考虑将其存储在数据库中。无论是Redis,AcitiveRecord或者是其他的形势。

但是数据库存储也存在短板:

  • Session不能被自动清除(只能亲自清除过期的Session)
  • 需要了解Session数据满溢时,数据库如何表现
  • 创建Session是更加小心,否在会在数据库中填满无用的Session信息

应该怎样存储Session信息?

如果不在意Cookie存储带来的限制,那就用它。毕竟它不需要过多配置,并且维护简单。

存储在缓存中还是在数据库中,取决于怎样看待Session过早失效的问题。我认为Session信息本来就应该是暂时的,所以更倾向于将其存在缓存中。

所以我的选择顺序一般是优先cookie,其他缓存,最后考虑数据库。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342

推荐阅读更多精彩内容

  • http协议有http0.9,http1.0,http1.1和http2三个版本,但是现在浏览器使用的是htt...
    一现_阅读 1,855评论 0 3
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,585评论 18 139
  • 背景在HTTP协议的定义中,采用了一种机制来记录客户端和服务器端交互的信息,这种机制被称为cookie,cooki...
    时芥蓝阅读 2,353评论 1 17
  • 1. cookie 1.1 什么是cookie cookie 是存储于访问者的计算机中的变量。每当同一台计算机通过...
    cbw100阅读 4,048评论 0 13
  • 烟抽了一半就主动灭掉 一颗苹果洗干净又懒得咬下第一口 牙龈会出血吧 他这样想道 一个人做饭 从不系围裙 连多加一个...
    段童阅读 193评论 0 0