Web uygulamaları kullanıcı oturumlarını nasıl yönetir?

Bu flood’da web uygulamalarının kullanıcı oturumlarını (Session) nasıl yönettiğinden bahsedeceğim.

Önceki flood’da Session Cookie'lerin kullanıcıya web uygulaması tarafından verilen Session Id'yi şifrelenmiş bir şekilde içerdiğini, web uygulamasının kullanıcıyı sonraki web isteklerinde bu Session Cookie ile ayırabildiği anlatmıştık.

Web uygulaması istemciye Session Cookie olarak gönderdiği Session Id'yi sadece kendisinin bildiği bir anahtar ile şifreler. Tarayıcının yaptığı sonraki isteklerde istek header'ında bulunan Session Cookie web uygulama tarafından deşifre edilerek Session Id bulunur.

Web trafiğinin bir Load Balancer arkasındaki birden fazla web sunucu tarafından karşılandığı durumlarda bir kullanıcının aynı oturumu boyunca farklı web sunucular kullanılabileceği için web sunucuların cookie'leri şifreledikleri anahtarları paylaşması gereklidir.

Anahtar bütün web sunucular tarafından paylaşılmazsa, kullanıcının isteği ortak anahtar bulunmayan web sunucuya düştüğünde Session Id'si bulunamaz ve istenmeyen durumlar ortaya çıkar. Aşağıdaki ekran görüntüsünde muhtemelen buna benzer bir durum var :-)

Session Cookie'ler her bir isteğe ekleneceği için boyutlarını büyük tutmak akıllıca olmayacaktır. Bu nedenle maksimum cookie boyutu 4KB olarak belirlenmiştir. Dolayısıyla web uygulamaları oturum değişkenlerini cookie'de tutmak yerine oturumun ayıracını (Id) cookie'de tutarlar. Peki web uygulamaları oturum değişkenlerini (örneğin, klasik e-ticaret sitesinde sepet bilgisini) nerede tutarlar? Oturum değişkenleri sunucu üzerindeki bir klasörde, istekleri karşılayan prosesin hafızasında, veri tabanında veya dağıtık cache (Redis, vb) üzerinde tutulabilir.

Oturum değişkenlerinin saklanacağı yer seçimi ihtiyaca ve sisteme göre farklılık gösterebilir. İstekleri karşılamak üzere sadece bir web sunucunun olduğu bir durumda oturum bilgileri, sunucu üzerindeki bir klasörde veya istekleri karşılayan prosesin hafızasında tutulabilir. Oturumu proses hafızasında tutmak bilgilere çok hızlı erişim sağlayıp performansı artırabilir fakat prosesin herhangi bir sebeple yeniden başlatılması ya da sunucunun yeniden başlatılması ile birlikte oturum bilgileri kaybolacaktır. Örneğin sepete eklenen ürünler kaybolacaktır.

İstekleri karşılamak üzere birden fazla web sunucunun bir yük dağıtıcı (Load Balancer) arkasında olduğu bir durumda oturum değişkenlerinin saklanacağı yer, üzerinde çok iyi düşünülmesi gereken bir seçim olarak karşımıza çıkar. Akla ilk gelen çözüm oturum bilgilerini bütün web sunucular tarafından erişilebilecek bir yerde yani bir veri tabanında veya dağıtık cache'te (Redis, Hazelcast vb) tutmaktır. Oturum bilgilerini web sunucu dışında bir yerde tutmak web sunucularda oluşacak problemlerden kullanıcı oturumlarının etkilenmemesini sağlar. Yük dağıtıcı problemli web sunucuları tespit ederek onların yerine sağlıklı sunuculara trafiği yönlendirir. Bu ideal gibi görünen senaryoda web sunucular her bir istekte güncel oturum bilgisini almak için veri tabanı ya da dağıtık cache'e gidecekleri için sisteme bir maliyet eklenmiş olur.

Oturum yönetimi için yukarıda bahsedilen çok katmanlı mimari aşağıda görselleştirilmiştir.

Yukarıda verilen senaryoda (LB + birkaç web sunucu) oturum değişkenlerine erişimde performans problemi yaşanıyorsa, yukarıda anlatılan riskler kabul edilerek, oturum bilgilerinin istekleri karşılayan prosesin hafızasında tutulması tercih edilebilir. Bu durumda bir kullanıcının oturum bilgisi sistemdeki sadece bir web sunucu tarafından tutulacaktır dolayısıyla yük dağıtıcının o kullanıcı ile ilgili bütün istekleri ilgili web sunucuya indirmesi gerekecektir. Sıklıkla ihtiyaç duyulan bu işlem için Load Balancer'larda Session Stickness özelliği vardır.

Load Balancer, Session Stickness özelliğini sağlamak için istemcinin ilk isteğini arka tarafta cevaplayan web sunucu bilgisini HTTP cevabına bir Session Cookie olarak ekleyip gönderir. İstemci bundan sonra yapacağı bütün isteklerde diğer cookie'lerle birlikte bu cookie'yi de göndereceği için Load Balancer, bu isteklerden kendi eklediği Session Cookie'yi çözecek ve istemcinin oturumunun hangi sunucu tarafından tutulduğunu okuyarak istemciyi o web sunucuya aktaracaktır. Görüldüğü üzere cookie'ler yük dağıtıcılar tarafından da kullanılmaktadır.

Aşağıda bahsedilen mekanizma görselleştirilmiştir.

Son olarak, e-ticaret sitelerinde uygulanan A/B testi, yani belirli bir yüzde kullanıcıya sitenin arayüzü ile hafif oynanmış halini göstermeye yarayan fonksiyonu kurgulamanın bir yolu cookie kullanmaktır. Yük dağıtıcı üzerinde mevcut web sunucu kümesi iki farklı kümeye bölünür. Talep edilen yüzdeye göre yük dağıtıcı gelen trafiğin bir kısmını B olarak belirlenen kümeye gönderir ve istemciye gönderdiği cevaba kullanıcının denek olduğunu belirten bir cookie ekler bu sayede kullanıcı belirlenen süre boyunca sitenin sürekli olarak B haline yönlendirilir.