Session技术

1、HTTP协议是无状态的，也就是说客户端浏览器从服务器请求某一资源，得到响应之后客户端和服务器端之间的连接就断开了，如果需要继续请求其它资源，则会重新建立二者之间的链接。但现实情况下，服务器记住客户端往往是很重要的，比如网购的过程中，客户端挑选东西的过程会涉及到多次交互，服务器需要很清楚地记住哪几个客户端分别购买了什么东西，这样才能完成最后的支付操作。

2、为了让服务器记住客户端，Session是一种解决方案，Session翻译为“会话”，表示客户端与服务器的一次有限时间的交互过程。Session的工作原理是：客户端第一次请求时，服务器为该客户端唯一创建一个Session对象，用于保存二者之间的交互信息，并根据特殊算法生成一个SessionID返回给客户端，再次请求时SessionID与请求数据一起发送给服务器，服务器根据此SessionID找到上次创建的Session对象，完成更新，就这样服务器知道客户端“是谁”了。

3、注意问题：

（1）Session是保存在服务器内存中的，由服务器创建和销毁，客户端仅仅能得到SessionID；

（2）Session是有时间限制的（要不然把服务器内存占满了怎么办？？），这个时间可以配置。如果在规定时间内客户端没有任何请求操作，则该Session会被服务器删除。当然，程序中也可以强制删除，通过调用HttpSession.invalidate()方法。服务器关闭时也会删除Session。

（3）SessionID借助Cookie技术保存在客户端，Cookie是一小段文本信息，服务器在响应客户端请求的同时，会发送一个Cookie过来，由客户端保存。SessionID就是被塞到这个Cookie中传送。Cookie在客户端的保存分两种形式：一是保存在浏览器进程中（内存Cookie），只要浏览器窗口不关闭，客户端在请求资源时就能被服务器识别，这里的窗口指的是浏览器应用程序，对多标签的浏览器，新建/关闭标签没有影响。窗口关闭后，SessionID也就没有了（此时服务器端Session可能还存在，没有过期），再次打开浏览器请求时就会获得服务器分配的新的SessionID；二是保存在客户机硬盘上，这种情况对应于“记住密码”等操作，这时SessionID将长期保持在硬盘上的Cookie中，直到Session失效。这种方式在客户端关闭浏览器或者切换浏览器时，同样可以使用SessionID。

（4）主流的浏览器都支持Cookie技术。客户端也可以手动禁止Cookie，这样在登录淘宝等网站时就会出现问题，因为服务器照样会发Cookie给客户端，但是客户端不接受？

（5）Session与Cookie的关系？SessionID在客户端的存储（无论是在浏览器进程中还是在硬盘上）是借助Cookie技术实现的。

#java