淘宝、京东跨域共享会话的分析与总结
博客专区 > 菜蚜 的博客 > 博客详情
淘宝、京东跨域共享会话的分析与总结
菜蚜 发表于2年前
淘宝、京东跨域共享会话的分析与总结
  • 发表于 2年前
  • 阅读 1203
  • 收藏 90
  • 点赞 5
  • 评论 2

移动开发云端新模式探索实践 >>>   

前言:你是否好奇在登录了taobao.com,然后tmall.com也有了会话信息呢?

OK,下面我们来解密吧:

首先,在login.taobao.com登录淘宝账号

这里看不到含有tmall.com的请求

淘宝登录完毕后,新开tab键入tmall.com

这是一个普通的200请求

我们发现,vip.tmall.com请求了多次,响应码也不同,刚开始是302跳转,后面是普通的200请求

这个302跳转到https://login.taobao.com/jump下

这是200响应输出内容

跳转到login再跳转到pass.tmall.com,从路径上来看这里是设置一些会话标识

这里有个特殊请求,www.taobao.com/go/app/tmall/login-api.php

后经过验证,此请求必须携带必要的cookie(也就是taobao域名下的cookie),并且Referer必须为https://www.tmall.com(或http协议,或在尾部加/)

得出结论:这个请求是在tmall域名下通过ajax调用taobao域名的请求,得到taobao的cookie,然后渲染tmall的吊顶。

从结果来看,这里设置了很多cookie。

然后,直接刷新tmall.com

这里可以看到,vip.tmall.com直接返回200响应码。

综上做出以下猜想与总结:

1、淘宝吊顶的会话信息和真实的会话信息存储方式不同;

前者储存在cookie中,后者储存在服务端;tmall等其他拓展域名通过ajax(www.taobao.com/go/app/tmall/login-api.php)同步taobao域名下的cookie

2、访问tmall等扩展域名,需要判断会话状态的请求先根据本域名下的cookie判断:如果相应的cookie名称不存在,那么做302跳转到https://login.taobao.com/jump下同步cookie到本域名下;如果存在,那么直接根据cookie判断服务端的会话状态,做出200响应;

3、由于除taobao域名本身外,其他域名都采用懒加载会话策略,所以taobao域名地位高于其他域名(或由于”历史原因“)

==============================================================

下面看看京东的做法吧,就简单啦:

首先,登录jd

200响应码很好。

又出现一个passport的请求,url不一样哦,返回的jsonp信息包含sso等字样

果然被执行了,这里请求了多次,每次都包含了不同的域名,看起来像设置cookie操作。

OK,设置成功

可见京东的处理方式简单明了,直接在登录完成之后把所有domain全部扫描一遍种下cookie,域名之间的关系看起来比较清晰

======================================================

总结:

淘宝和京东采用了两种不同的策略来实现跨domain的客户端会话同步机制;

淘宝主要是懒同步,就是用户访问到指定的域名,才去做会话同步;京东则是提前将所有域名的cookie全部准备好。

淘宝的缺陷和不足:吊顶的会话信息不能直接反应真实的会话信息,并且cookie同步策略是有问题的(可以模拟出吊顶和内容的会话信息不同)

京东的缺陷和不足:假设以后的域名增加到好几十个呢,难道还是要一次性全部种植cookie吗?另外,异步请求不可避免会有丢失的风险

本质上,会话在服务端只保留一份,目前使用策略较多的是集中式会话管理;

会话在客户端的标识需要cookie,那么会话的同步或共享在客户端就转为cookie的同步了,而cookie由于跨域就没法直接共享了,那么跨域的cookie同步就可以使用http的302跳转来实现(不管是ajax请求还是页面跳转)。

  • 打赏
  • 点赞
  • 收藏
  • 分享
共有 人打赏支持
粉丝 21
博文 56
码字总数 30515
评论 (2)
哎码
受益匪浅。
强子哥哥
不错
×
菜蚜
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: