我使用 nodejs 和 connect-redis 来存储 session 数据。
我在 session 中保存用户数据,并在 session 生命周期内使用它。
我注意到两个更改 session 数据的请求之间可能存在竞争条件。
我尝试过使用 redis-lock 来锁定 session ,但这对我来说有点问题。
我不想锁定整个 session ,而是只锁定特定的 session 变量。
发现不可能,想了解决的方向:
停止使用session对象存储用户数据,直接将变量保存在redis中,使用前加锁。
我知道它可以工作,但它需要我手动管理所有对象,而不是仅仅通过 session 对象访问 redis。
能否请您与我分享最佳实践和您的建议?
谢谢, 里尔
最佳答案
好吧,实现您自己的存储可能是您的选择。 This documentation显示您需要做的就是实现三个方法:.get、.set 和 .destroy(请参阅最后一段)。它会是这样的(使用 node-redis library 并稍微修改 the original connect-redis store):
var redis = require("redis"),
redis_client = redis.createClient(),
session_prefix = 'session::',
lock_suffix = '::lock',
threshold = 5000,
wait_time = 250,
oneDay = 86400;
/* If timeout is greater then threshold, then we assume that
one of the Redis Clients is dead and he cannot realese
the lock. */
function CustomSessionStore(opts) {
opts = opts || {};
var self = this;
self.ttl = opts.ttl; // <---- used for setting timeout on session
self.lock = function(sid, callback) {
callback = callback || function(){};
var key = session_prefix + sid + lock_suffix;
// try setting the lock with current Date
redis_client.setnx(key, Date.now( ), function(err, res) {
// some error handling?
if (res) {
// Everything's fine, call callback.
callback();
return;
}
// setnx failed, look at timeout
redis_client.get(key, function(err, res) {
// some error handling?
if (parseInt(res) + threshold > Date.now( )) {
// timeout, release the old lock and lock it
redis_client.getset(key, Date.now( ), function(err, date) {
if (parseInt(date) + threshold > Date.now()) {
// ups, some one else was faster in acquiring lock
setTimeout(function() {
self.lock(sid, callback);
}, wait_time);
return;
}
callback();
});
return;
}
// it is not time yet, wait and try again later
setTimeout(function() {
self.lock(sid, callback);
}, wait_time);
});
});
};
self.unlock = function(sid, callback) {
callback = callback || function(){};
var key = session_prefix + sid + lock_suffix;
redis_client.del(key, function(err) {
// some error handling?
callback();
});
};
self.get = function(sid, callback) {
callback = callback || function(){};
var key = session_prefix + sid;
// lock the session
self.lock(sid, function() {
redis_client.get(key, function(err, data) {
if (err) {
callback(err);
return;
}
try {
callback(null, JSON.parse(data));
} catch(e) {
callback(e);
}
});
});
};
self.set = function(sid, data, callback) {
callback = callback || function(){};
try {
// ttl used for expiration of session
var maxAge = sess.cookie.maxAge
, ttl = self.ttl
, sess = JSON.stringify(sess);
ttl = ttl || ('number' == typeof maxAge
? maxAge / 1000 | 0
: oneDay);
} catch(e) {
callback(e);
return;
}
var key = session_prefix + sid;
redis_client.setex(key, ttl, data, function(err) {
// unlock the session
self.unlock(sid, function(_err) {
callback(err || _err);
});
});
};
self.destroy = function(sid, callback) {
var key = session_prefix + sid;
redis_client.del(key, function(err) {
redis_client.unlock(sid, function(_err) {
callback(err || _err);
});
});
};
}
旁注:我没有为 .lock 和 .unlock 实现错误处理。我把这个留给你! :) 可能会有一些小错误(我现在没有 NodeJS,我是凭内存写的 :D ),但你应该理解这个想法。这是 the link其中包含有关如何使用 setnx 锁定/解锁 Redis 的讨论。
其他注意事项:您可能希望对路由进行一些自定义错误处理,因为如果任何路由抛出异常,那么 Redis session 将不会被解锁。 .set 方法总是作为路由中的最后一件事被调用 - 与 Express 在路由最开始调用的 .get 方法相反(这就是为什么我锁定在 .get 并在 .set 处解锁)。你仍然只会被锁定 5 秒钟,所以这不一定是个问题。请记住根据您的需要调整它(尤其是 threshold 和 wait_time 变量)。
最后说明:使用这种机制,您的请求处理程序只会针对每个用户一个接一个地触发。这意味着,您将无法为每个用户运行并发处理程序。这可能是一个问题,所以另一个想法是将数据保存在 session 之外并手动处理锁定/解锁。毕竟,有些事情必须手动处理。
希望对您有所帮助!祝你好运!
关于node.js - connect-redis - 如何保护 session 对象免受竞争条件的影响,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11420982/