Jetty项目中TLS 1.3长连接场景下的堆内存泄漏问题分析

问题背景

在Jetty 12.0.3之后的版本中，开发人员发现当服务端启用TLS 1.3并与长生命周期客户端（如HAProxy）保持持久连接时，会出现堆内存持续增长的问题。这个问题最终会导致服务达到堆内存上限，影响系统稳定性。

问题现象

通过堆内存分析工具可以观察到大量SSLSessionImpl对象堆积，数量远超SSL会话缓存的大小限制。这些异常膨胀的会话主要来源于HAProxy等长连接客户端。内存分析报告显示，单个SSLSessionContextImpl实例占用了超过80%的堆内存空间。

技术分析

问题根源

该问题与Jetty 12.0.3版本后引入的SSL会话数据存储方式变更有关：

1. 在12.0.3之前版本中，SSL会话数据存储在请求对象中（通过SecurityRequestCustomizer）
2. 12.0.3之后版本引入了org.eclipse.jetty.io.EndPoint$SslSessionData，将会话数据直接存储在SSLSession对象内部

内存增长机制

在TLS 1.3环境下，当客户端（如HAProxy）保持长连接并频繁发送健康检查请求时：

1. 每个SSL连接都会创建对应的SSLSessionImpl对象
2. 这些对象被Java的软引用机制缓存
3. 由于客户端不重启，会话持续活跃，导致缓存无法及时清理
4. 只有当堆内存接近上限时，软引用才会被清除

复现条件

该问题在以下条件下可稳定复现：

1. 使用Jetty 12.0.3以上版本
2. 启用TLS 1.3协议
3. 客户端为长生命周期（如不重启的HAProxy）
4. 客户端频繁发送请求（如每100ms的健康检查）

解决方案

临时缓解措施

1. 降级使用TLS 1.2协议
2. 定期重启客户端（如HAProxy）
3. 回退到Jetty 12.0.3版本

根本解决方案

Jetty开发团队已通过PR修复此问题，主要修改点是：

1. 不再将SslSessionData存储在SSLSession对象中
2. 恢复类似12.0.3版本的数据存储方式

技术启示

1. SSL会话缓存机制：Java的SSLSession缓存使用软引用机制，这可能导致内存增长到接近上限才会触发清理，开发人员需要了解这一特性

2. 长连接场景的特殊性：在持久连接场景下，传统的会话超时机制可能失效，需要特别设计

3. 协议版本影响：TLS 1.3与1.2在会话管理上存在差异，升级协议版本时需要考虑兼容性问题

4. 内存监控重要性：对于关键服务，建立完善的内存监控机制可以及早发现此类渐进式内存问题

最佳实践建议

1. 在生产环境升级前，应在测试环境充分验证内存行为
2. 对于使用长连接的前端服务（如HAProxy、Nginx），应考虑设置合理的重启策略
3. 监控SSL会话缓存大小和内存使用情况，设置适当的告警阈值
4. 在性能与内存使用间取得平衡，合理配置javax.net.ssl.sessionCacheSize参数

该案例展示了在高性能网络服务开发中，内存管理、协议实现和连接生命周期管理等诸多因素的复杂交互，为类似场景的开发提供了有价值的参考。