Memcached存Session数据、访问安全性、使用场景总结（3）

最近做了一个单点登录SSO，登陆后的凭证放到Memcached令牌放到Cookies；但是用户经常掉线，开发环境和测试却没有这个问题，最后从Memcached找到原因。

Memcached概念、作用、运行原理、特性、不足简单梳理（1）

Memcached下载安装、NET对Memcached进行CRUD操作（2）

Memcached存Session数据、访问安全性、使用场景总结（3）

一、Session数据放入到Memcached？

Memcached创建者Dormando写过两篇文章：

Sessions in Memcached

Cache your sessions. Don't piss off your users

第一篇文章中指出：如果用memcached存储Session，那么当memcached集群发生故障（比如内存溢出）或者维护（比如升级、增加或减少服务器）时，用户会无法登录，或者被踢掉线。

第二篇文章中指出：Memcached的回收机制可能会导致用户无缘无故地掉线。

对于Dormando的那两篇文章，他认为第一篇文章给出的原因很容易理解，而人们经常会对第二篇文章给出的原因认识不足。因此他对这个原因进行了详细地阐述：

Memcached for Dummies

Memcached使用“最近最少使用（LRU）”算法回收缓存。但memcached的LRU算法针对每个slab类执行，而不是针对整体。这意味着，如果所有Session的大小大致相同，那么它们会分成两三个slab类。所有其它大小大致相同的数据也会放入同一些slab，与Session争用存储空间。一旦slab满了，即使更大的slab中还有空间，数据也会被回收， 而不是放入更大的slab中……在特定的slab中，Session最老的用户将会掉线。用户将会开始随机掉线，而最糟糕的是，你很可能甚至都不会注意到它，直至用户开始抱怨……

可以看来Memcached是一个设计用于缓存数据而不是存储数据的系统，因此不应该用于存储Session。

建议开发人员不要用memcached存储Session。

二、什么样的数据适合放Memcached

不适合的情况：

1.如果是一个小网站，pv值不大，不考虑Memcached

2.变化频繁, 一变化就要入库（股票，金融),不考虑Memcached

3.过大的数据不能放入到Memcached

4.缓存对象的大小大于1MB

5.key的长度大于250字符

适合的情况：

1.变化频繁，查询频繁，但是不一定写入数据库(比如用户在线状态、在线人数..适合Memcached)

2.变化不频繁，查询频繁,不管入不入库,都比较适合Memcached。

三、Memcached访问安全性

Memcache服务器端都是直接通过客户端连接后直接操作，没有任何的验证过程，这样如果服务器是直接暴露在互联网上的话是比较危险，轻则数据泄露被其他无关人员查看，重则服务器被入侵，因为Mecache是以root权限运 行的，况且里面可能存在一些我们未知的bug或者是缓冲区溢出的情况，这些都是我们未知的，所以危险性是可以预见的。

内网访问：最好把两台服务器之间的访问是内网形态的，一般是Web服务器跟Memcache服务器之间。普遍的服务器都是有两块网卡，一块指向互联网，一块指向内网，那么就让Web服务器通过内网的网卡来访问Memcache服务器，我们 Memcache的服务器上启动的时候就监听内网的IP地址和端口，内网间的访问能够有效阻止其他非法的访问。

防火墙是简单有效的方式，如果却是两台服务器都是挂在网的，并且需要通过外网IP来访问Memcache的话，那么可以考虑使用防火墙或者代理程序来过滤非法访问。

四、总结

到这里我想你对memcached也有了些了解。

Memcached不是一个数据库，不是存储数据的系统，他只是内存缓存数据系统。

Memcached不是信息的唯一来源，是来辅助数据库操作的，来提升信息的查询速度。

Memcached是key-value存储，所以key约定和命名规范很重要，方便以后进行维护。