前言：

HTTP协议本身是无状态的，为了保存会话信息，浏览器Cookie通过SessionID标识会话请求，服务器以SessionID为key来存储会话信息。在单实例应用中，可以考虑应用进程自身存储，随着应用体量的增长，需要横向扩容，多实例session共享问题随之而来。

Spring Session就是为了解决多进程session共享的问题

为什么需要springSession？

应用部署在Tomcat时，session是由Tomcat内存维护，如果应用部署多个实例，session就不能共享。Spring Session就是解决为了解决分布式场景中的session共享问题。

SpringSession的使用：

Spring Session支持存储在Hazelcast 、Redis、MongoDB、关系型数据库，以下内容session存储在Redis。

使用Spring手动配置连接redis:

web.xml配置：

!-- spring session -->
  <filter>
    <filter-name>springSessionRepositoryFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSessionRepositoryFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Spring 主要配置：

<!--创建了一个RedisConnectionFactory，它将Spring会话连接到Redis服务器-->
    <bean id="jedisConnectionFactory" class="org.springframework.data.redis.connection.jedis.JedisConnectionFactory">
        <!--配置Redis连接池 ，可以不配置，使用默认就行！-->
        p:poolConfig-ref="jedisPoolConfig"
    </bean>
 
    <!--创建一个Spring Bean的名称springSessionRepositoryFilter实现过滤器-->
    <bean class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration">
        <!--默认session时效30分钟-->
        <property name="maxInactiveIntervalInSeconds" value="60" >
    </bean>

使用SpringBoot自动配置连接redis:

1、application.yml文件中配置：

spring:
  redis:
    port: 6379
    host: 192.168.79.41
  session:
    store-type: redis

2、建一个配置类，在该配置类中配置：

/**
     *   配置写入cookie
     * @return
     */
    @Bean
    public CookieSerializer cookieSerializer() {
        DefaultCookieSerializer serializer = new DefaultCookieSerializer();
        serializer.setCookieName("cookie-id");  //cookie id
        serializer.setDomainName("ssoclient2.com");   //指定作用域
        return serializer;
    }


    /*springSession 序列化方式*/
    @Bean
    public RedisSerializer springSessionDefaultRedisSerializer() {
        return new GenericJackson2JsonRedisSerializer();
    }

3、在启动类上加上@EnableRedisHttpSession注解

SpringSession的工作原理：

初始化顺序：Listener > Filter > Servlet。

1) 通过 Tomcat 的 listener 

把SessionRepositoryFilter加载到Spring容器中。

2) filter初始化

web.xml里面配置的filter是DelegatingFilterProxy。

DelegatingFilterProxy初始化入口在其父类GenericFilterBean中：

DelegatingFilterProxy去Spring容器取第1步初始化好的springSessionRepositoryFilter：

至此 sessionRepositoryFilter 初始化完成，

DelegatingFilterProxy 实际代理了

SessionRepositoryFilter。

SessionRepositoryFilter 工作核心流程：

protected void doFilterInternal(HttpServletRequest request,
           HttpServletResponse response, FilterChain filterChain)
           throws ServletException, IOException {
       request.setAttribute(SESSION_REPOSITORY_ATTR, this.sessionRepository);
       //包装了HttpServletRequest，覆写了HttpServletRequest中 getSession(boolean create)方法
       SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(
               request, response, this.servletContext);
             ......
       try {
           filterChain.doFilter(strategyRequest, strategyResponse);
       }
       finally {
           //保证session持久化
           wrappedRequest.commitSession();
       }
   }

缓存机制

每一个session，Redis实际缓存的数据如下：

spring:session:sessions:1b8b2340-da25-4ca6-864c-4af28f033327

spring:session:sessions:expires:1b8b2340-da25-4ca6-864c-4af28f033327

spring:session:expirations:1557389100000

spring:session:sessions为hash结构，存储Spring Session的主要内容

spring:session:sessions:expires 为 string 结构，存储一个空值。

spring:session:expirations为set结构，存储1557389100000 时间点过期的 

spring:session:sessions:expires键值；

Redis过期键有三种删除策略，分别是定时删除，惰性删除，定期删除。

1. 定时删除：通过维护一个定时器，过期马上删除，是最有效的，但是也是最浪费cpu时间的。
   

2. 惰性删除：程序在取出键时才判断它是否过期，过期才删除，这个方法对cpu时间友好，对内存不友好。

3. 定期删除：每隔一定时间执行一次删除过期键的操作，并限制每次删除操作的执行时长和频率，是一种折中。
   

Redis采用了惰性删除和定期删除的策略。由此可见依赖 Redis 的过期策略实时删除过期key是不可靠的。

另外一方面，业务可能会在Spring Session过期后做业务逻辑处理，同时需要session里面的信息，如果只有一个 spring:session:sessions键值，那么Redis删除就删除了，业务没法获取session信息。

spring:session:expirations键中存储了spring:session:sessions:expires键，而spring:session:sessions:expires键过期五分钟spring:session:expirations键和spring:session:sessions键（实际Spring Session对于过期事件处理订阅的spring:session:sessions:expires），这样在订阅到过期事件时还能获取spring:session:sessions键值。

如果通过Redis本身清理机制未及时清除

spring:session:sessions:expires，可以通过Spring Session提供的定时任务兜底，保证spring:session:sessions:expires清除

springSession中到底存储了什么数据

因为里面就一条Session的数据，所以我们可以清晰地看到这个数据可以分为三类：

spring:session:sessions:1b8b2340-da25-4ca6-864c-4af28f033327

spring:session:sessions:expires:1b8b2340-da25-4ca6-864c-4af28f033327

spring:session:expirations:1557389100000

1、spring.session.sessions: 里面存的是Session的具体信息，失效时间是35分钟

2、spring.session.sessions.expires: 里面的key是字符串 spring.session.sessions.expires 加上一个 SessionId，值是空的，失效时间是35分钟

3、spring.session.expirations: key值是每整分钟的时间戳，其值是一个Set，存的是这一分钟要失效的上边第二条里面的key值，失效时间是35分钟Sessions里面存的属性：创建时间/最大有效市场(失效时间)/最后访问时间

参阅：springSession工作原理