How Rails Sessions Work
如果你的Rails应用不知道谁在访问它?如果同一个人请求两个不同的页面你不知道怎么处理?如果接到回应后所有保存的数据都消失?
对于大部分静态站点来说这没什么大不了的。但是大部分应用需要储存一些关于用户的信息。可能是user id,偏好语言或者类似于是否在ipad上呈现应用的桌面版本这样的设置。
Session是储存这类信息的完美方案。为多个请求保留的小数据量信息。
Session使用起来很简单:
session[:current_user_id] = @user.id
但是这其中蕴藏着一些魔法。什么是Session?Rails怎么知道向不同的用户呈现其对应的信息?以及如何决定存放Session信息的位置?
Session是什么?
Session是一个可以存储请求信息,使后续请求可以读取该信息的地方。
可以在一个action中设置数据:
#app/controllers/sessions_controller.rb
def create
# ...
session[:current_user_id] = @user.id
# ...
end
在另一个action中读取数据:
#app/controllers/users_controller.rb
def index
current_user = User.find_by_id(session[:current_user_id])
# ...
end
Session在客户端浏览器和你的Rails应用之间进行了协调,将两者联系在了一起。而且是基于Cookie实现的。
当客户端请求页面时,服务器会在响应中设置一个Cookie
~ jweiss$ curl -I http://www.google.com | grep Set-Cookie
Set-Cookie: NID=67=J2xeyegolV0SSneukSOANOCoeuDQs7G1FDAK2j-nVyaoejz-4K6aouUQtyp5B_rK3Z7G-EwTIzDm7XQ3_ZUVNnFmlGfIHMAnZQNd4kM89VLzCsM0fZnr_N8-idASAfBEdS; expires=Wed, 16-Sep-2015 05:44:42 GMT; path=/; domain=.google.com; HttpOnly
浏览器会存储Cookie信息。在Cookie过期之前,每次发出请求时,浏览器都会将Cookie信息回传给服务器:
...
> GET / HTTP/1.1
> User-Agent: curl/7.37.1
> Host: www.google.com
> Accept: */*
> Cookie: NID=67=J2xeyegolV0SSneukSOANOCoeuDQs7G1FDAK2j- nVyaoejz-4K6aouUQtyp5B_rK3Z7G- EwTIzDm7XQ3_ZUVNnFmlGfIHMAnZQNd4kM89VLzCsM0fZnr_N8-idASAfBEdS; expires=Wed, 16-Sep-2015 05:44:42 GMT; path=/; domain=.google.com; HttpOnly
...
Cookie看起来像一堆乱码,这是正常的,毕竟Cookie信息并不是给用户看的。Rails应用可以从Cookie中读取信息。Rails应用设置了它,当然也能读取它。
和Session有什么关系?
现在我们有了Cookie。在某次请求中设置了该值,在后续请求中得到同样的值。那么Cookie和Session的区别是什么呢?
默认情况下,在Rails中两者并没有很大的不同。Rails对Cookie做了处理来提高安全性,除此之外,像你预期的一样:在Rails应用中将数据存入Cookie,也可以将其取出来。从这一点来说,Session和Cookie确实没有任何区别。
(译注:这里指在Rails中的用法没有任何区别,而非概念上没有任何区别)
但是Cookie不总是存储Session数据的理想方案:
- 只能在Cookie中存储4kb的数据。
通常情况下够了,但有时不满足 - Cookie在你每次发出的请求中携带。
大的Cookie信息意味着更大数据量的请求(request)响应(reponse),意味着更慢的网站。 - 如果不小心暴露了secret_key_base,用户可以修改Cookie中的信息。
当Cookie中包含类似current_user_id这样的信息时,每个人都可能进行身份冒充。 - 在Cookie中保存错误类型的数据是不安全的。
如果小心一点,没有什么大问题。
当你因为以上一些原因不能选用Cookie来保存Sessio信息时,Rails还提供了其他一些方式来保存Session信息。
(译注:通常使用cookie来保存session_id)
可选择的Session存储方案
其他的Session存储方案和使用Cookie储存Session的方式类似。我们来举一个真实的例子帮助理解。
如果使用ActiveRecord纪录Session
1. 当调用session[:current_session_id] = 1时,Session实际上还没有存在。
2. Rails会在session表中使用随机的Session id(例如:09497d46978bf6f32265fefb5cc52264)插入一条新纪录。
3. 保存{current_user_id: 1}(base64编码)在该记录的data属性中。
4. 将生成的session id(09497d46978bf6f32265fefb5cc52264)使用set-cookie返回给浏览器。
下次发出请求时,
1. 浏览器使用Cookie头向服务器发送同样的Cookie信息(Cookie: _my_app_session=09497d46978bf6f32265fefb5cc52264;
path=/; HttpOnly)
2. 当调用session[:current_user_id]时
3. 服务器取出cookie头中的session id,并在sessions表中找到这条纪录。
4. 然后,返回该记录data属性的包含的current_user_id信息。
不管你将Session存储在数据库,memcached,redis或者其他的地方,几乎都遵循以上的过程。Cookie只存储session id,Rails应用使用session id在Session存储中查找相应的数据。
cookie存储,缓存存储还是数据库存储?
如果满足需求的话,将Session信息存储在Cookie中是最简单的方法。不需要额外的构造或者设置。
但是如果需要将Session从Cookie存储中移出的话,你有两个选项。
存储在数据库或存储在缓存。
在缓存中存储session信息
你可能已经使用了类似于memcache之类的来缓存你的局部页面或数据。考虑到缓存相关信息已经配置过了,缓存存储是存储Session数据第二简单的方式
不用担心Session存储增长过快,因为当缓存信息过大时,旧的Session信息会被自动清除。而且因为数据存储在缓存中类似于在内存中,访问速度是很快的。
但是这也不完美
- 如果需要保存旧的Session信息,你可能不想让它们在缓存信息过多时被清除。
- Session和缓存数据争夺空间。如果没有足够的空间,你可能面临缓存缺失和Session过早过期的问题。
- 如果需要重置缓存时(例如升级rails,旧的缓存数据不再可用),只能将所有的Session信息过期。
在数据库中存储session信息
如果想存储Session信息直到它真正失效,应该考虑将其存储在数据库中。无论是Redis,AcitiveRecord或者是其他的形势。
但是数据库存储也存在短板:
- Session不能被自动清除(只能亲自清除过期的Session)
- 需要了解Session数据满溢时,数据库如何表现
- 创建Session是更加小心,否在会在数据库中填满无用的Session信息
应该怎样存储Session信息?
如果不在意Cookie存储带来的限制,那就用它。毕竟它不需要过多配置,并且维护简单。
存储在缓存中还是在数据库中,取决于怎样看待Session过早失效的问题。我认为Session信息本来就应该是暂时的,所以更倾向于将其存在缓存中。
所以我的选择顺序一般是优先cookie,其他缓存,最后考虑数据库。