基本上是对Stackoverflow上一个[问题][Session Stackoverflow]的翻译。简短明了,值得一看。
[Session Stackoverflow]:http://stackoverflow.com/questions/3804209/what-are-sessions-how-do-they-work "what-are-sessions-how-do-they-work"
在动态网站开发中,因为Http是无状态的,不能将本次请求和其它请求关联起来,所以你希望能够在(比如cookie和url参数中的数据)多次Http请求之间存储用户数据。但是,你不希望这些数据能够在客户端被读取或者编辑,因为你不会希望这些数据不经过你的服务器端代码而被处理。比如,cookie和url参数中的数据是暴露在客户端的,任何人都可读,可操作。
这个问题的解决方案就是将数据存储在服务器端,然后给它一个id,让客户端只知道这个id,并且只在每次请求之间传递这个id。Session就是这样实现的。当然,你也可以通过其它的方案解决上述问题。比如将数据存储在客户端,但是要加密,并将密钥存储在服务器端。
当然,也还要有其它方面考虑,比如你不希望有人去劫持其他用户的Session,可以设置Session的失效期。
在网站登录认证通过之后,用户的id(或者是其它唯一的字段)被存储在服务器端的Session数据中。然后,每次收到从客户端来的Http请求,Session id(客户端给出的)都会将你指向存储在服务器端正确的Session数据,其中包含着用户id。通过这种方式,当前登录的是哪个用户了。
