Session原理

Session是用来保存用户信息的。当一个用户打开一个浏览器浏览Servlet时，这个Servlet首先会检查客户端是否带有JSessionID（JSessionID是用来标识Session的，具有唯一性。）的这样一个Cookie。如果带有这个Cookie，则会利用JSessionID将之对应的Session调出来。如果没有发现，则Servlet会创建一个带有JSessionID的一个Session。同时向浏览器写一个名字为JSessionID的Cookie。

细节：Session默认在服务器端的生存时间是30分钟。可以调用invalidate();方法来销毁Session若要改变其生存时间，可以在WEB.XML里面写入如下代码：

<session-config>

<session-timeout>Session生存时间。（分钟）</session-timeout>

</session-config>

当用户关闭浏览器窗口时，为Session所创建的Cookie也会被删除。也就是说，当用户关闭浏览器窗口时后，服务器端的生存的Session就没有了意义（因为不会再被调用）。也可以这样说，当用户关闭浏览器窗口时，之前在这个浏览器窗口所保存在Seesion里的参数，将不会被访问到。

出现这个问题的原因在于为Session所创建的Cookie的生存时间太短。当用户关闭浏览器窗口时，就会被销毁。为了解决这个问题，我们可以手动重写Cookie去覆盖服务器自动为Session所创建的Cookie。