今天早上5点我收到一个朋友的求救,说为什么我看到的会员中心和别人一样,包括个人信息,订单,以及财务信息等等。
我立即远程检查了客户端的application的相关信息,发现sessionID和cookie信息,以及其他程序中写入的session信息都是一致,这很明显服务端分不清客户端的身份了。
接着检查了nginx的配置,发现在配置文件中多了一句:proxy_ignore_headers X-Accel-Expires Expires Cache-Control Set-Cookie;,我了解了以后才知道他们是想忽略缓存的过期信息,但这很明显是网上的博客误人子弟了,于是去掉Set-Cookie后,重载配置后恢复正常。
这里也奉劝各位,在生产环境中一定不要去网上复制相关的配置,特别是不能确定这个配置所造成的后果是什么样时,一定不能使用。
这里回顾一下http的相关技术:
HTTP本身是无状态协议,他不对之前发生过的请求和响应的状态进行管理,也就是说,他无法根据之前的状态进行本次的请求处理。
当我们要访问一个需要登录的Web页面的时候,web页面本身无法进行状态的管理(不会记录已登登录的状态),那么每次跳转新页面还要继续登录。极其的不方便。
因为HTTP自身不能进行会话保持,所以我们引入了Cookie的技术
cookie技术的由来
Cookie技术通过在请求和响应报文中写入Cookie信息来控制客户端的状态。
Cookie会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的首部字段信息,通知客户端保存Cookie。当下次客户端再往该服务器发送请求时,客户端会自动在请求报文中加入Cookie值后在发送出去。
服务端发现客户端发送过来的Cookie后,会去检查究竟是从哪一个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息
因此上面的事件中,忽略Set-Cookie肯定是不行的。
WEB架构
安全监控体系
集群架构
