一、Session共享让我头大2018年我们从单机扩展到多实例部署。用户反馈登录状态丢失——在A机器登录请求到了B机器就没登录了。原因是Session存在JVM内存中每个实例的Session是独立的。我们尝试了Session复制Tomcat Cluster但Session序列化和网络传输的开销太大。后来又用了Spring Session Redis虽然解决了共享问题但每次请求都要访问Redis增加了延迟。最终我们切换到了JWT彻底告别了Session。二、方案对比┌─────────────────────────────────────────────────────────────────┐ │ 会话管理方案对比 │ │ │ │ 方案 │ 状态 │ 性能 │ 扩展性 │ 适用场景 │ │ ───────────────────────────────────────────────────────────── │ │ 本地Session │ 有状态 │ 高 │ 差 │ 单机 │ │ Session复制 │ 有状态 │ 差 │ 差 │ 小集群 │ │ Spring Session │ 有状态 │ 中 │ 中 │ 传统Web │ │ JWT │ 无状态 │ 高 │ 好 │ 微服务/移动端 │ │ TokenRedis │ 半无状态│ 中 │ 好 │ 需要主动失效 │ │ │ └──────────────────────────────────────────────────────────────────┘三、JWT实现3.1 Token生成与验证/** * JWT工具类 */ComponentSlf4jpublicclassJwtTokenProvider{Value(${jwt.secret})privateStringsecret;Value(${jwt.access-token-expiration:7200})privatelongaccessTokenExpiration;Value(${jwt.refresh-token-expiration:604800})privatelongrefreshTokenExpiration;/** * 生成Access Token */publicStringgenerateAccessToken(UserDetailsuserDetails){MapString,ObjectclaimsnewHashMap();claims.put(userId,userDetails.getUserId());claims.put(username,userDetails.getUsername());claims.put(roles,userDetails.getRoles());returnJwts.builder().setClaims(claims).setSubject(userDetails.getUsername()).setIssuedAt(newDate()).setExpiration(newDate(System.currentTimeMillis()accessTokenExpiration*1000)).signWith(SignatureAlgorithm.HS512,secret).compact();}/** * 生成Refresh Token */publicStringgenerateRefreshToken(UserDetailsuserDetails){returnJwts.builder().setSubject(userDetails.getUsername()).setIssuedAt(newDate()).setExpiration(newDate(System.currentTimeMillis()refreshTokenExpiration*1000)).signWith(SignatureAlgorithm.HS512,secret).compact();}/** * 验证Token */publicJwtClaimsvalidateToken(Stringtoken){try{ClaimsclaimsJwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();returnJwtClaims.builder().userId(claims.get(userId,Long.class)).username(claims.getSubject()).roles((ListString)claims.get(roles)).expiration(claims.getExpiration()).build();}catch(ExpiredJwtExceptione){thrownewJwtTokenExpiredException(Token已过期);}catch(JwtExceptione){thrownewJwtTokenInvalidException(Token无效);}}}3.2 登录与Token刷新/** * 认证服务 */ServiceSlf4jpublicclassAuthService{AutowiredprivateJwtTokenProvidertokenProvider;AutowiredprivateStringRedisTemplateredisTemplate;/** * 登录 */publicLoginResultlogin(LoginRequestrequest){// 验证用户名密码UserDetailsuserauthenticate(request.getUsername(),request.getPassword());// 生成TokenStringaccessTokentokenProvider.generateAccessToken(user);StringrefreshTokentokenProvider.generateRefreshToken(user);// 存储Refresh Token用于主动失效redisTemplate.opsForValue().set(refresh_token:user.getUserId(),refreshToken,7,TimeUnit.DAYS);returnLoginResult.builder().accessToken(accessToken).refreshToken(refreshToken).expiresIn(7200).build();}/** * 刷新Token */publicLoginResultrefreshToken(StringrefreshToken){JwtClaimsclaimstokenProvider.validateToken(refreshToken);// 验证Refresh Token是否在Redis中StringstoredredisTemplate.opsForValue().get(refresh_token:claims.getUserId());if(!refreshToken.equals(stored)){thrownewJwtTokenInvalidException(Refresh Token无效);}// 生成新的Access TokenUserDetailsuserloadUser(claims.getUserId());StringnewAccessTokentokenProvider.generateAccessToken(user);returnLoginResult.builder().accessToken(newAccessToken).expiresIn(7200).build();}/** * 登出主动失效 */publicvoidlogout(LonguserId){// 删除Refresh TokenredisTemplate.delete(refresh_token:userId);// 将Access Token加入黑名单// 因为JWT无状态Access Token在过期前仍然有效// 这里使用Token黑名单方案log.info(用户登出: userId{},userId);}}四、踩坑实录坑1JWT无法主动失效用户改了密码但旧Token还能用。解决维护Token黑名单Redis或者缩短Access Token有效期Refresh Token轮换。坑2JWT太大JWT Payload塞了太多数据Token超过4KB超过Header限制。解决JWT只存必要信息userId、username其他信息按需查询。坑3Token存储不安全前端把Token存在localStorage被XSS攻击窃取。解决Token存在HttpOnly Cookie中或使用加密存储。坑4跨域Token传递前后端分离跨域请求Token丢失。解决CORS配置允许携带凭证withCredentials。坑5并发刷新Token同一用户的多个设备同时刷新Token导致Token失效。解决Refresh Token加版本号只允许最新的Token刷新。五、总结会话管理方案选型场景推荐传统WebSpring Session Redis移动端/APIJWT需要主动失效JWT Redis黑名单SSOOAuth2 JWT最佳实践JWT只存必要信息Access Token短有效期2小时Refresh Token长有效期7天Token安全存储做好Token刷新和失效血的教训JWT不是万能的。无状态是优势也是劣势选择方案前先想清楚你的业务需要什么。思考题你的系统用了什么会话管理方案个人观点仅供参考
【架构实战】分布式会话:从Session到JWT的演进
发布时间:2026/6/11 4:25:22
一、Session共享让我头大2018年我们从单机扩展到多实例部署。用户反馈登录状态丢失——在A机器登录请求到了B机器就没登录了。原因是Session存在JVM内存中每个实例的Session是独立的。我们尝试了Session复制Tomcat Cluster但Session序列化和网络传输的开销太大。后来又用了Spring Session Redis虽然解决了共享问题但每次请求都要访问Redis增加了延迟。最终我们切换到了JWT彻底告别了Session。二、方案对比┌─────────────────────────────────────────────────────────────────┐ │ 会话管理方案对比 │ │ │ │ 方案 │ 状态 │ 性能 │ 扩展性 │ 适用场景 │ │ ───────────────────────────────────────────────────────────── │ │ 本地Session │ 有状态 │ 高 │ 差 │ 单机 │ │ Session复制 │ 有状态 │ 差 │ 差 │ 小集群 │ │ Spring Session │ 有状态 │ 中 │ 中 │ 传统Web │ │ JWT │ 无状态 │ 高 │ 好 │ 微服务/移动端 │ │ TokenRedis │ 半无状态│ 中 │ 好 │ 需要主动失效 │ │ │ └──────────────────────────────────────────────────────────────────┘三、JWT实现3.1 Token生成与验证/** * JWT工具类 */ComponentSlf4jpublicclassJwtTokenProvider{Value(${jwt.secret})privateStringsecret;Value(${jwt.access-token-expiration:7200})privatelongaccessTokenExpiration;Value(${jwt.refresh-token-expiration:604800})privatelongrefreshTokenExpiration;/** * 生成Access Token */publicStringgenerateAccessToken(UserDetailsuserDetails){MapString,ObjectclaimsnewHashMap();claims.put(userId,userDetails.getUserId());claims.put(username,userDetails.getUsername());claims.put(roles,userDetails.getRoles());returnJwts.builder().setClaims(claims).setSubject(userDetails.getUsername()).setIssuedAt(newDate()).setExpiration(newDate(System.currentTimeMillis()accessTokenExpiration*1000)).signWith(SignatureAlgorithm.HS512,secret).compact();}/** * 生成Refresh Token */publicStringgenerateRefreshToken(UserDetailsuserDetails){returnJwts.builder().setSubject(userDetails.getUsername()).setIssuedAt(newDate()).setExpiration(newDate(System.currentTimeMillis()refreshTokenExpiration*1000)).signWith(SignatureAlgorithm.HS512,secret).compact();}/** * 验证Token */publicJwtClaimsvalidateToken(Stringtoken){try{ClaimsclaimsJwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();returnJwtClaims.builder().userId(claims.get(userId,Long.class)).username(claims.getSubject()).roles((ListString)claims.get(roles)).expiration(claims.getExpiration()).build();}catch(ExpiredJwtExceptione){thrownewJwtTokenExpiredException(Token已过期);}catch(JwtExceptione){thrownewJwtTokenInvalidException(Token无效);}}}3.2 登录与Token刷新/** * 认证服务 */ServiceSlf4jpublicclassAuthService{AutowiredprivateJwtTokenProvidertokenProvider;AutowiredprivateStringRedisTemplateredisTemplate;/** * 登录 */publicLoginResultlogin(LoginRequestrequest){// 验证用户名密码UserDetailsuserauthenticate(request.getUsername(),request.getPassword());// 生成TokenStringaccessTokentokenProvider.generateAccessToken(user);StringrefreshTokentokenProvider.generateRefreshToken(user);// 存储Refresh Token用于主动失效redisTemplate.opsForValue().set(refresh_token:user.getUserId(),refreshToken,7,TimeUnit.DAYS);returnLoginResult.builder().accessToken(accessToken).refreshToken(refreshToken).expiresIn(7200).build();}/** * 刷新Token */publicLoginResultrefreshToken(StringrefreshToken){JwtClaimsclaimstokenProvider.validateToken(refreshToken);// 验证Refresh Token是否在Redis中StringstoredredisTemplate.opsForValue().get(refresh_token:claims.getUserId());if(!refreshToken.equals(stored)){thrownewJwtTokenInvalidException(Refresh Token无效);}// 生成新的Access TokenUserDetailsuserloadUser(claims.getUserId());StringnewAccessTokentokenProvider.generateAccessToken(user);returnLoginResult.builder().accessToken(newAccessToken).expiresIn(7200).build();}/** * 登出主动失效 */publicvoidlogout(LonguserId){// 删除Refresh TokenredisTemplate.delete(refresh_token:userId);// 将Access Token加入黑名单// 因为JWT无状态Access Token在过期前仍然有效// 这里使用Token黑名单方案log.info(用户登出: userId{},userId);}}四、踩坑实录坑1JWT无法主动失效用户改了密码但旧Token还能用。解决维护Token黑名单Redis或者缩短Access Token有效期Refresh Token轮换。坑2JWT太大JWT Payload塞了太多数据Token超过4KB超过Header限制。解决JWT只存必要信息userId、username其他信息按需查询。坑3Token存储不安全前端把Token存在localStorage被XSS攻击窃取。解决Token存在HttpOnly Cookie中或使用加密存储。坑4跨域Token传递前后端分离跨域请求Token丢失。解决CORS配置允许携带凭证withCredentials。坑5并发刷新Token同一用户的多个设备同时刷新Token导致Token失效。解决Refresh Token加版本号只允许最新的Token刷新。五、总结会话管理方案选型场景推荐传统WebSpring Session Redis移动端/APIJWT需要主动失效JWT Redis黑名单SSOOAuth2 JWT最佳实践JWT只存必要信息Access Token短有效期2小时Refresh Token长有效期7天Token安全存储做好Token刷新和失效血的教训JWT不是万能的。无状态是优势也是劣势选择方案前先想清楚你的业务需要什么。思考题你的系统用了什么会话管理方案个人观点仅供参考
相关文章
构建企业级微信机器人自动化解决方案
构建企业级微信机器人自动化解决方案 【免费下载链接】WechatBot 项目地址: https://gitcode.com/gh_mirrors/wechatb/WechatBot 在数字化办公场景中,微信作为日常沟通的主要工具,其自动化处理需求日益增长。WechatBot作为一个轻量级、开源的Pyt…
告别VGA大块头!用FPGA驱动ST7789V小屏的保姆级教程(附Verilog源码)
FPGA轻量化显示方案:ST7789V驱动全解析与实战 在嵌入式系统开发中,显示模块往往是体积和成本的主要负担。传统VGA方案虽然通用性强,但其庞大的接口电路和笨重的显示器已经成为许多便携式项目的瓶颈。本文将带您探索一种基于FPGA和ST7789V控制…
oracle SGA
Oracle实例由系统全局区域(SGA,System Global Area)的共享内存块,以及大量的后台线程组成。 SGA至少包含三个数据结构: 数据库高速缓存区(Database buffer cache) 日志缓冲区(Log buffer cache) 共享池(Shared Pool) 还可能包含: 大池(Large Pool) JAVA池(JAVA…
AI产品经理进阶指南:从0到1掌握核心技能,2026全网最详细的AI产品经理学习路线
前言 AI产品经理作为一个新兴且热门的职业,不仅需要具备传统产品经理的能力,还需要对AI技术有深入的理解和应用。本学习路线旨在帮助有志于成为AI产品经理的学习者系统地掌握所需的知识和技能。 前排提示,文末有大模型AGI-CSDN独家资料包哦&a…
Qwen3.5-27b-opus蒸馏版:单卡最强本地模型,编程性能大幅提升!配置揭秘!
谷歌发布新开源模型之前,大家非常期待。发布后,大家密集测试了一段时间,发现Qwen3.5-27b-opus蒸馏版,还是单卡最强本地模型。 这个”opus”后缀的意思是,它是用Claude Opus4.6作为教师模型蒸馏出来的。说白了就是&…
终极指南:如何使用Jsvectormap创建惊艳的交互式地图数据可视化
终极指南:如何使用Jsvectormap创建惊艳的交互式地图数据可视化 【免费下载链接】jsvectormap A lightweight JavaScript library for creating interactive maps and pretty data visualization. 项目地址: https://gitcode.com/gh_mirrors/js/jsvectormap 你…
告别内存焦虑!用ESP32+SD卡扩展LVGL显示资源(图片、字体、二维码全搞定)
ESP32SD卡解放LVGL开发:图片、字体、二维码全资源动态加载实战在嵌入式GUI开发中,资源管理一直是个令人头疼的问题。当你在ESP32这类内存有限的微控制器上使用LVGL时,是否经常遇到这样的困境:精心设计的界面因为加载几张图片就内存…
手把手教你用C语言实现BMS的卡尔曼滤波SOC估算(附完整代码与参数调试心得)
嵌入式BMS开发实战:卡尔曼滤波在电池SOC估算中的工程化应用18650锂电池组的SOC(State of Charge)估算是BMS开发中最具挑战性的环节之一。作为一名长期从事嵌入式BMS开发的工程师,我见过太多项目因为SOC估算不准而导致电池过充、过…
3分钟搞定智慧树自动刷课:告别手动操作的学习效率神器
3分钟搞定智慧树自动刷课:告别手动操作的学习效率神器 【免费下载链接】zhihuishu 智慧树刷课插件,自动播放下一集、1.5倍速度、无声 项目地址: https://gitcode.com/gh_mirrors/zh/zhihuishu 你是否还在为智慧树平台繁琐的视频操作而烦恼&#x…
LLM 多轮对话状态管理:从无状态 API 到有状态会话
LLM 多轮对话状态管理:从无状态 API 到有状态会话一、大模型 API 的无状态困境:上下文窗口的有限性与会话连续性 大模型的 Chat API 本质上是无状态的——每次请求都需要发送完整的对话历史。这种设计简化了服务端实现,但给后端架构带来了两个…
Spring Boot 3 与 GraalVM 原生镜像:从 JIT 到 AOT 的启动革命
Spring Boot 3 与 GraalVM 原生镜像:从 JIT 到 AOT 的启动革命 一、JVM 冷启动的性能困境:云原生环境下的启动延迟 Java 应用在云原生环境中面临的核心挑战是冷启动延迟。一个典型的 Spring Boot 2 应用,启动时间约 3-8 秒,内存占…
Go 错误处理与错误链:从哨兵错误到自定义错误类型的工程实践
Go 错误处理与错误链:从哨兵错误到自定义错误类型的工程实践一、Go 错误处理的工程困境:哨兵值与信息丢失 Go 的错误处理采用显式返回值模式,if err ! nil 是每个 Go 开发者最熟悉的代码片段。然而,当项目规模增长后,简…
LED驱动技术全解析:从核心架构到实战选型与避坑指南
1. 从一颗灯珠到千亿市场:LED驱动的技术演进与商业逻辑十几年前,当我第一次从料盘上拿起一颗0603封装的白色LED时,它微弱的光晕和高达几块钱的单颗成本,让我很难想象今天它几乎照亮了我们生活的每一个角落。从手机屏幕的一抹背光&…
索引堆及其优化
索引堆及其优化 引言 索引堆是一种数据结构,广泛应用于计算机科学和软件工程领域。它主要用于解决优先队列问题,如最小堆和最大堆。本文将详细介绍索引堆的概念、实现方法以及优化策略。 索引堆的定义 索引堆是一种基于堆数据结构的索引机制。它通过维护一个堆来存储数据…
从零到日增237精准粉丝,我靠CSDN这张AI卡片爆了!手把手复刻全流程,含配置避坑清单
更多请点击: https://intelliparadigm.com 第一章:CSDN AI 数字营销的官方引流卡片是什么功能? CSDN AI 数字营销平台推出的「官方引流卡片」,是一种面向技术创作者的轻量级、可嵌入式内容分发组件,专为提升博文、教程…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…