淘宝网站,每时每刻都有过百万的用户登录退出,也是用SESSION或者COOKIE做的登录回话吗?

她说她喜欢浪丶
  • 4.9k

淘宝网站,每时每刻都有过百万的用户登录退出,也是用SESSION或者COOKIE做的登录回话吗?

回复
阅读 4.8k
5 个回答
✓ 已被采纳

首先来理解一下COOKIE和SESSION。

COOKIE是目前最较为安全的在客户端存储数据的方式,这个基本没什么说的。
而SESSION本质上是一个创建出来的概念,然后在各种语言中实现了它而已。

SESSION是通过一个特定的COOKIE保存一个sessionid,然后在服务端通过这个sessionid,查询某个存储(或服务)查到对应的一段信息,由于我们可以保证这个sessionid只保存在用户的浏览器里,不会被窃取(防止了xss),也很难被伪造(最原始的就是随机生成一段比较长的随机串),所以可以用来作为用户临时身份鉴权的一个方式。

比如在PHP里,这个cookie的key是PHPSESSID,它的值是sessionid,一般是一个随机生成的字符串(如:rnlevc3m5t36kmeq3ffduab5o7),而在服务端的/tmp 目录下,有一个 /tmp/sess_rnlevc3m5t36kmeq3ffduab5o7 文件,保存了你想对这个用户保存的个人信息。

这种方式是非常低效的。主要在三个方面。

  1. 查询过程是读服务器文件,这个效率瓶颈可想而知
  2. 查询过程是读本地文件,如果有多台机器,那么就无法共享了
  3. rnlevc3m5t36kmeq3ffduab5o7是纯随机的,里面没有包含任何信息量

所以一般我们会借用这种思路,重新来实现SESSION

  1. 把SESSEION从本地文件转移到一个高可用的中心化缓存,比如memcached集群,保证数据高效访问
  2. 同上,一个中心化的缓存系统,这样多台机器就可以共享SESSION了
  3. 用一种算法来生成rnlevc3m5t36kmeq3ffduab5o7这一串东西,在里面包含一些有用的信息,比如uid、过期时间等等,服务端加密,服务端解密,在某些情况下,可以减少对中心化缓存的依赖,提高性能

是的,一般都是二者结合,格子应用在合适的应用场景

当然是cookie,推荐你去看一本书,淘宝技术的十年,里面就说了,session同步共享是很难解决的问题

你禁用cookie看看是否能登录就知道啦。

会用cookie或者SESSION,对于用户来说自己和淘宝是一对一的,这个和百万的数量级自然就没有关系。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏