淘宝网站,每时每刻都有过百万的用户登录退出,也是用SESSION或者COOKIE做的登录回话吗?
当然是cookie,推荐你去看一本书,淘宝技术的十年,里面就说了,session同步共享是很难解决的问题
是的,一般都是二者结合,格子应用在合适的应用场景
会用cookie或者SESSION,对于用户来说自己和淘宝是一对一的,这个和百万的数量级自然就没有关系。
你禁用cookie看看是否能登录就知道啦。
首先来理解一下COOKIE和SESSION。
COOKIE是目前最较为安全的在客户端存储数据的方式,这个基本没什么说的。
而SESSION本质上是一个创建出来的概念,然后在各种语言中实现了它而已。
SESSION是通过一个特定的COOKIE保存一个sessionid,然后在服务端通过这个sessionid,查询某个存储(或服务)查到对应的一段信息,由于我们可以保证这个sessionid只保存在用户的浏览器里,不会被窃取(防止了xss),也很难被伪造(最原始的就是随机生成一段比较长的随机串),所以可以用来作为用户临时身份鉴权的一个方式。
比如在PHP里,这个cookie的key是PHPSESSID,它的值是sessionid,一般是一个随机生成的字符串(如:rnlevc3m5t36kmeq3ffduab5o7),而在服务端的/tmp 目录下,有一个 /tmp/sess_rnlevc3m5t36kmeq3ffduab5o7 文件,保存了你想对这个用户保存的个人信息。
这种方式是非常低效的。主要在三个方面。
- 查询过程是读服务器文件,这个效率瓶颈可想而知
- 查询过程是读本地文件,如果有多台机器,那么就无法共享了
- rnlevc3m5t36kmeq3ffduab5o7是纯随机的,里面没有包含任何信息量
所以一般我们会借用这种思路,重新来实现SESSION
- 把SESSEION从本地文件转移到一个高可用的中心化缓存,比如memcached集群,保证数据高效访问
- 同上,一个中心化的缓存系统,这样多台机器就可以共享SESSION了
- 用一种算法来生成rnlevc3m5t36kmeq3ffduab5o7这一串东西,在里面包含一些有用的信息,比如uid、过期时间等等,服务端加密,服务端解密,在某些情况下,可以减少对中心化缓存的依赖,提高性能