无状态服务器如何工作？

对于真正的无状态服务器端，跨服务器跟踪用户非常棘手。在大多数情况下，事情都是无状态服务器，其中登录例外。但是，无状态服务器的重要之处在于它使群集非常简单，因此您可以水平扩展。

在Java中，您可以使用Cookie来存储凭据，也可以使用分布式哈希将其设置为无状态。通常，人们接受使用像memcache之类的东西，并说他们是无状态的，因为状态存储在Web服务器外部。这使用户可以使用服务器场中的任何Web服务器，并且仍然可以安全地进行身份验证。在Java中，我们有很多可与spring一起使用的分布式哈希实现，因此您不必使用memcache来执行此操作。

另一种选择是使用cookie来存储称为HMAC的加密安全散列票证。使用cookie避免使用Session，因此Web服务器是无状态的。使用HMAC，您可以签名不能由第三方伪造或创建的数据块，并且可以保证数据源于您。这不需要外部服务器资源（缓存）来对用户进行身份验证，因此可以更好地进行扩展，但是您需要注意一些安全问题。仅供参考，Google使用此技术水平缩放。一个HMAC不同于SHA1或其他Cyrpto哈希。他们需要一个密钥，该密钥必须位于服务器场中的每个服务器上。还必须使用对称加密密钥进行保护，以确保在有人获取文件的情况下将其安全地存储在服务器上。HMAC信息也以明文形式存储，因此当您可以将用户名或电子邮件放入cookie时，任何人都可以使用实际的加密哈希。如果有人要保留该cookie，则可以伪装成该用户。这就是为什么HMAC通常仅在一定时间内有效的原因。此后，它们就会过期，因此，如果有人找到了他们，他们将永远无法访问该帐户。

因此，HMAC具有此弱点，因此您应注意在其中使用哪些应用程序。使用PayPal方案对于Paypal来说确实是个坏主意，因为我要做的就是获取安全的Cookie，然后将所有资金转给我。最大的好处是，所有事情都是您的应用程序真正无状态的。

最后一个选择是将Java会话存储在分布式哈希中。php和其他平台会将其会话转储到数据库中，穷人则将其分发到缓存中，或者将其转储到内存缓存中。使用Java，您可以做同样的事情。您也可以将会话对象放入分布式缓存中。由于人们认为“很酷，现在我可以将我想要的任何内容转储到我的会话中，这将是无状态的”，因此该选项已不受欢迎。但是，与所有分布式缓存一样，链接速度，复制时间和有效负载大小也受到限制。Java或Memcache都是如此。保持较小的会话，这很好用。将所有内容投入会话中，您就可以直接解决单个服务器遇到的扩展问题。真的是

更新：以下是可用于执行此操作的Java分布式缓存库的列表：

http://www.manageability.org/blog/stuff/distributed-cache-
java