什么是认证和授权？

认证解决的就是你是谁的问题，当登录一个web电商平台，当你很high的浏览商品的时候并不需要你的认证，但是当你准备下单的时候就需要你登录。要解决你是谁的问题？主要是你的账户有没有钱:)

当你登录之后，接下来最重要的是授权阶段，主要是区分你是不是VIP用户或admin用户。

什么是session？什么是cookie？

http是无状态的服务，当你首次登录web应用之后，http并不知道。如果服务器或者浏览器没记录下来的话，再次刷新页面可能就需要你重新登录。 这显然是不合理的。
因此session这个概念出现了。 这个是和用户紧密结合在一起的，主要解决服务器对用户的认证。
例如有的网站长时间不操作就需要重新登录，就是我们所说的session过期了，需要重新登录。

cookie是存在于用户浏览器本地。一般服务器将sessionid发送给浏览器将其保存在cookie中。

什么是stick session？

当单体应用不足以支撑web应用的时候，一般会多实例部署前面加一个负载均衡器让多个服务实例提供服务。用户感觉不到自己在访问哪个服务器。
但是session同步是一个问题。
因为用户是通过负载均衡进来的，两次访问可能落在不同的svr上，如果第一次是在svr1上进行登录的，第二次是请求被分配到svr2上。如果再让用户重新登录那用户体验肯定糟糕透了。 用户莫名其妙间歇性登录。
因此出现了stick session即粘性session。 将session和用户访问的svr进行黏连。

当用户量上来之后，stick session会对负载均衡和服务器造成很大的压力。因此一般大流量网站不使用这种方式保持session。

如何解决session同步的问题？

• 第一种解决方案会话同步复制
  也就是让这个会话数据在这个服务器之间进行同步复制。
  可以解决问题但是它会引入复杂性，整个服务器集群之间，需要引入这个复杂的这个状态同步协议，整体性能和扩展性反而会变低。

• 第二种无状态会话
  不存在这个服务器上，而是存在客户端的这个浏览器里。
  通过这个请求响应循环捎带来传递用户数据，这种方式确实可以做到这个服务器端和负载均衡器，都不需要存状态，比较容易扩展。
  但是用户数据存在浏览器cookie当中是有泄露风险。
  浏览器对这个cookie大小是有限制的，一般是4k

• 第三种集中状态会话
  将session集中存储redis中当，负载均衡器和这个服务器都可以水平扩展。提高了系统的可扩展性。