在之前的这篇文章 在ExpressJS(NodeJS)中设置二级域名跨域共享Cookie 中提及将Session存放到Mongodb中,其中有很多讲解的不是很详细。
我们为什么要把Session存放到数据中,以及又为什么要在子域名间跨域共享Cookie呢?
客户端与服务会使用一个Sessionid的Cookie值来进行客户端和服务器端会话的匹配,这个Cookie一般是服务器端读/写的,并在Http请求响应的Header中的Set-Cookie属性设置:
注* 中间代理人攻击,即是通过代理服务器(如无线路由)盗取你的会话Cookie(SessionID等),从而访冒你的身份。因此Google建议网站全部采用HTTPS协议,加密传输内容,并提高了纯HTTPS网站的权重。
使用数据库来集中管理session,存放Session内容,并在各个子域名跨域共享Cookies (SessionID),即可实现为每一个子域分配一个独立的node.js Web服务器,各个服务程序均可依据sessionid从数据库中寻找到同一Session,从而实现不同Web Server中的会话同步,从而实现一定程度上的负载均衡。
要想实现完全意义的负载均衡还需要将Web服务做到完全状态无关,不仅仅是Session,所有的中间缓存数据都要转移到与服务器无关的缓存层中,这正是Redis最善长的地方。
但是为什么存放在Redis中要比MongoDB中好呢?
在MongoDB中是这样存放Session的, 使用 connect-mongo 即用来将Express中的Session持久化到Mongodb的一个中间件,它也可以在connect 上使用。
Express 4.x, 5.0 与 Connect 3.x配合使用:
Express 2.x, 3.x 和 Connect 1.x, 2.x配合使用:
对于 Connect 只需要将express替换成connect即可
MongoDB 是一个基于文档的数据库,所有数据是从磁盘上进行读写的。MongoDB善长的是对无模式JSON数据的查询。
而Redis是一个基于内存的键值数据库,它由C语言实现的,与Nginx/ NodeJS工作原理近似,同样以单线程异步的方式工作,先读写内存再异步同步到磁盘,读写速度上比MongoDB有巨大的提升。因此目前很多超高并发的网站/应用都使用Redis做缓存层,普遍认为其性能明显好于MemoryCache。当并发达到一定程度时,即可考虑使用Redis来缓存数据和持久化Session。
Redis (安装方法 ) 数据库采用极简的设计思想,最新版的源码包还不到2Mb。其在使用上也有别于一般的数据库。
redis驱动程序多使用 node_redis 此模块可搭载官方的 hiredis C 语言库 - 同样是非阻塞的,比使用JavaScript内置的解释器性能稍好。可选择将hiredis 与 redis 一同安装。
如果 hiredis 安装成功, node_redis 会默认使用 hiredis, 否则会使用JavaScript的解释器。
Redis的一个Key不仅可以对应一个String类型的值,还支持hashes, lists, sets, sorted sets, bitmaps等。
比如存/取一组Hash值,Redis中有两个对应的命令
HMSET key field value [field value ...]、
为一个Key一次设置多个哈希键/值, 多用于JSON对象的写入(序列化的SESSION)。
HGETALL key
读取一个Key的所有 哈希键/值,多用于JSON对象读取
这两个命令即是在NodeJS中存取JSON对象的关键,
下面是node_reids中对应的例子:
Redis没有严格意义上的表名和字段名,以 Key-Value 键值对的方式存储,因此一般采用 schema:key 形式做为键值,其中
schema: 可理解为传统数据库中的表名
key: 可理解为表中的主键
因此使用redis存放你的session时,需要一个schema前辍, 比如这个key: sessionid:i4w3axuzyj4nwwg75y6k5us2
Redis 也仅能对Key进行检索, 尚不支持对Key所存放的Hash Key的检索。 如要检索到所有session,只需匹配 sessionid:* 即可,
有些第三方库会支持检索值中的Hash Key,但这不是一个原子性操作,redis本身并不提供。
因此在采用Redis缓存与检索数据时,要使用一些独特的数据类型,如集合(Sets)
Redis集合不允许添加相同成员。多次添加同一元素到集合中最终只会包含一个元素。多个集合之间可以进行连接/交集这样的操作。从而实现类似传统数据库中索引、条件和连接查询的效果。
connect-reids 是一个 Redis 版的 session 存储器,使用node_redis作为驱动。借助它即可在Express中启用Redis来持久化你的Session.
在 Express 3.x 中还需要安装express-session
client 你可以复用现有的redis客户端对象, 由 redis.createClient() 创建
host Redis服务器名
port Redis服务器端口
socket Redis服务器的unix_socket
ttl Redis session TTL 过期时间 (秒)
disableTTL 禁用设置的 TTL
db 使用第几个数据库
pass Redis数据库的密码
prefix 数据表前辍即schema, 默认为 "sess:"
将express-session传给connect-redis来启用
检验
这样你的Session就转移到了Redis数据库,这样做的一个额外好处是,当你的Express服务器突然重启后,用户仍然可以使用当前Cookie中的SessionID从数据库中获取到他的会话状态,做到会话不丢失,在一定程度上提高网站的键壮性。
如果你的NodeJS网站上的所有缓存数据都转移到了Redis后,就可做到完全状态无关,按需扩展网站的规模。
可水平扩展的NodeJS网站服务器集群(非 cluster模块 不同,它们是相互独立的,可分布在不同的物理服务器上),这样的架构,对于应对超大规模并发也是有好处的。
我们为什么要把Session存放到数据中,以及又为什么要在子域名间跨域共享Cookie呢?
Session与Cookie的关系
客户端与服务会使用一个Sessionid的Cookie值来进行客户端和服务器端会话的匹配,这个Cookie一般是服务器端读/写的,并在Http请求响应的Header中的Set-Cookie属性设置:
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 14 Jan 2015 02:29:09 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Proxy-Connection: Keep-Alive
Connection: Keep-Alive
Content-Encoding: gzip
Set-Cookie: sessionid=i4w3axuzyj4nwwg75y6k5us2; path=/; domain=.ourjs.com; httponly
- path=/ 表示这个cookie是设置在根目录的。
- httponly 属性禁止客户端JavaScript的访问,防止当前会话(sessionid)被恶意的js脚本盗取
- domain=.ourjs.com 表示将sessionid存放到主域名下,各个二级域名域名均使用此Cookie (sessionid)
注* 中间代理人攻击,即是通过代理服务器(如无线路由)盗取你的会话Cookie(SessionID等),从而访冒你的身份。因此Google建议网站全部采用HTTPS协议,加密传输内容,并提高了纯HTTPS网站的权重。
使用数据库来集中管理session,存放Session内容,并在各个子域名跨域共享Cookies (SessionID),即可实现为每一个子域分配一个独立的node.js Web服务器,各个服务程序均可依据sessionid从数据库中寻找到同一Session,从而实现不同Web Server中的会话同步,从而实现一定程度上的负载均衡。
要想实现完全意义的负载均衡还需要将Web服务做到完全状态无关,不仅仅是Session,所有的中间缓存数据都要转移到与服务器无关的缓存层中,这正是Redis最善长的地方。
但是为什么存放在Redis中要比MongoDB中好呢?
将Session存放到MongoDB
在MongoDB中是这样存放Session的, 使用 connect-mongo 即用来将Express中的Session持久化到Mongodb的一个中间件,它也可以在connect 上使用。
Express 4.x, 5.0 与 Connect 3.x配合使用:
var session = require('express-session');
var MongoStore = require('connect-mongo')(session);
app.use(session({
secret: 'foo',
store: new MongoStore(options)
}));
Express 2.x, 3.x 和 Connect 1.x, 2.x配合使用:
var MongoStore = require('connect-mongo')(express);
app.use(express.session({
secret: 'foo',
store: new MongoStore(options)
}));
对于 Connect 只需要将express替换成connect即可
MongoDB 是一个基于文档的数据库,所有数据是从磁盘上进行读写的。MongoDB善长的是对无模式JSON数据的查询。
而Redis是一个基于内存的键值数据库,它由C语言实现的,与Nginx/ NodeJS工作原理近似,同样以单线程异步的方式工作,先读写内存再异步同步到磁盘,读写速度上比MongoDB有巨大的提升。因此目前很多超高并发的网站/应用都使用Redis做缓存层,普遍认为其性能明显好于MemoryCache。当并发达到一定程度时,即可考虑使用Redis来缓存数据和持久化Session。
在NodeJS中使用Redis缓存数据
Redis (安装方法 ) 数据库采用极简的设计思想,最新版的源码包还不到2Mb。其在使用上也有别于一般的数据库。
node_redis
redis驱动程序多使用 node_redis 此模块可搭载官方的 hiredis C 语言库 - 同样是非阻塞的,比使用JavaScript内置的解释器性能稍好。可选择将hiredis 与 redis 一同安装。
npm install hiredis redis
如果 hiredis 安装成功, node_redis 会默认使用 hiredis, 否则会使用JavaScript的解释器。
Redis的一个Key不仅可以对应一个String类型的值,还支持hashes, lists, sets, sorted sets, bitmaps等。
比如存/取一组Hash值,Redis中有两个对应的命令
HMSET key field value [field value ...]、
为一个Key一次设置多个哈希键/值, 多用于JSON对象的写入(序列化的SESSION)。
HGETALL key
读取一个Key的所有 哈希键/值,多用于JSON对象读取
这两个命令即是在NodeJS中存取JSON对象的关键,
下面是node_reids中对应的例子:
var redis = require("redis"),
client = redis.createClient();
//写入JavaScript(JSON)对象
client.hmset('sessionid', { username: 'kris', password: 'password' }, function(err) {
console.log(err)
})
//读取JavaScript(JSON)对象
client.hgetall('sessionid', function(err, object) {
console.log(object)
})
Redis没有严格意义上的表名和字段名,以 Key-Value 键值对的方式存储,因此一般采用 schema:key 形式做为键值,其中
schema: 可理解为传统数据库中的表名
key: 可理解为表中的主键
因此使用redis存放你的session时,需要一个schema前辍, 比如这个key: sessionid:i4w3axuzyj4nwwg75y6k5us2
Redis 也仅能对Key进行检索, 尚不支持对Key所存放的Hash Key的检索。 如要检索到所有session,只需匹配 sessionid:* 即可,
client.keys('session:*', function (err, keys) {
console.log(keys)
})
有些第三方库会支持检索值中的Hash Key,但这不是一个原子性操作,redis本身并不提供。
因此在采用Redis缓存与检索数据时,要使用一些独特的数据类型,如集合(Sets)
> sadd myset 1 2 3 //添加 1 2 3到集合myset
(integer) 3
> smembers myset //列出集合的所有成员
1. 3
2. 1
3. 2
> sismember myset 30 //判断30是否存在
(integer) 0 //不存在
Redis集合不允许添加相同成员。多次添加同一元素到集合中最终只会包含一个元素。多个集合之间可以进行连接/交集这样的操作。从而实现类似传统数据库中索引、条件和连接查询的效果。
# 添加 3 个用户和信息
hmset user:1 user_name lee age 21
hmset user:2 user_name david age 25
hmset user:3 user_name chris age 25
# 维护age索引
sadd age:21 1
sadd age:25 2 3
# 维护name索引
sadd name:lee 1
sadd name:david 2
sadd name:chris 3
# 查找 age = 25 和 name = lee 的用户
sinter age:25 name:lee
-> 会返回一个空集合
将Session存放到Redis中
connect-reids 是一个 Redis 版的 session 存储器,使用node_redis作为驱动。借助它即可在Express中启用Redis来持久化你的Session.
安装
$ npm install connect-redis
在 Express 3.x 中还需要安装express-session
$ npm install express-session
参数
client 你可以复用现有的redis客户端对象, 由 redis.createClient() 创建
host Redis服务器名
port Redis服务器端口
socket Redis服务器的unix_socket
可选参数
ttl Redis session TTL 过期时间 (秒)
disableTTL 禁用设置的 TTL
db 使用第几个数据库
pass Redis数据库的密码
prefix 数据表前辍即schema, 默认为 "sess:"
使用
将express-session传给connect-redis来启用
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
app.use(session({
store: new RedisStore(options),
secret: 'keyboard cat'
}));
检验
app.use(function (req, res, next) {
if (!req.session) {
return next(new Error('oh no')) // handle error
}
next() // otherwise continue
})
这样你的Session就转移到了Redis数据库,这样做的一个额外好处是,当你的Express服务器突然重启后,用户仍然可以使用当前Cookie中的SessionID从数据库中获取到他的会话状态,做到会话不丢失,在一定程度上提高网站的键壮性。
如果你的NodeJS网站上的所有缓存数据都转移到了Redis后,就可做到完全状态无关,按需扩展网站的规模。
可水平扩展的NodeJS网站服务器集群(非 cluster模块 不同,它们是相互独立的,可分布在不同的物理服务器上),这样的架构,对于应对超大规模并发也是有好处的。
学习了!
session存在redis中,是否node进程不结束就有一个连接一直连接着redis服务器?
@潘支乐 #1
是的,看你声明了几个连接对象,Node中只会产生一个连接。量大的话可以考虑把不同的schema分开存在在不同的redis。
-
标题
#
给我带来了很大帮助谢谢
''''
alert('1');
习近平的危机
cluster模块 也可以这样做分布在不同物理服务器上吧?反正都是用redis缓冲
不错
请问,这个的意思是吧redis安装在另外的服务器上,我尝试过,安在和node同一台机器上,cluster模式可以共享session,但是redis安装在其他机器上就链接补上redis了,请问这是什么原因
@侯优仪 #10
一般是Reids的设置问题,你可以试试
1) 检查一下redis服务器的防火墙设置。
2) 看看redis是否限制只允许本机访问,如: bind 127.0.0.1 ,如果有先注释掉。
3)如果允许外网访问,请确保redis 设置了访问密码,如: requirepass password 并检查是否与 node.js 中写的一致
@蒲丹示 #6
Alert("err")req.session is undefined.
** 1. ## 标题 ##加粗文本 **
*![
]1*
评论测试
加粗文本