session（会话）

什么是session：

①是服务器端的状态管理技术。
②当浏览器访问服务器时，服务器会创建一个session对象（该对象有一个唯一的id号，称之为sessionId）。接下来，服务器在默认情况下，会使用set-cookie消息头将这个sessionId发送浏览器，浏览器会将这个sessionId保存下来（内存中，因为指定生存时间）。当浏览器再次访问服务器时，会将sessionId使用cookie消息头发送给服务器，服务器依据这个sessionId就可以找到之前创建的session对象。
③用户与服务器之间的多次交互叫一次会话。

如何创建一个session对象

1）方式一：HttpSession s=request.getSession(boolean flag);//HttpSession是一个接口，返回一个符合要求的对象（工厂）。
当flag=true时：
服务器会先检查请求当中是否有sessionId，如果没有则创建一个session对象。
如果有sessionId，则服务器会依据sessionId查找对应的session对象，如果找到了，则返回session对象。根据sessionId找不到，则服务器会创建一个新的session对象。
当flag＝false时：
服务器会先检查请求当中是否有sessionId，如果没有则返回null。
如果有sessionId，则服务器会依据sessionId查找对应的session对象，如果找到了，则返回session对象。根据sessionId找不到，则服务器返回null。
2）方式二：HttpSession s=request.getSession();
等价于HttpSession s=request.getSession(true);

HttpSession接口中提供的常用方法

1）String getId()：获得sessionId
2）setAttribute(String name,Object obj)：绑定一个对象到session对象上
3）getAttribute(String name)：获得绑定对象，如果不存在则返回null
4）removeAttribute(String name)：解除绑定（request也有）

session的超时

1）服务器会将空闲时间过长的session对象删除。大部分服务器默认的session超时限制是30分钟。
2）修改超时限制：可以修改这个默认的超时限制。
例如：可以修改Tomcat的web.xml（影响Tomcat服务器下的所有应用），修改之后，需要重新启动Tomcat服务器。也可以修改某个应用的web.xml。
<session-config>
<session-timeout>30</session-timeout>
</session-config>
也可以通过编程的方式来修改超时的限制：setMaxInactiveInterval(int seconds);
3）立即删除session：invalidate();//实际是清空session对象的内容，然后可以给其他人继续使用该session对象

用户禁止cookie以后，如何继续使用session

1）如果用户禁止cookie，服务器仍然会将sessionId以cookie的方式发送给浏览器，但是，浏览器不再保存这个cookie（即sessionId）。
2）如果想要继续使用session，需要采取其他方式来实现sessionId的跟踪，如可以使用url重写来实现sessionId的跟踪。

url重写

1）什么是url重写
浏览器在访问服务器上的某个地址时，不能够直接写这个组件（Servlet/JSP）的地址，而应该使用服务器生成的包含有sessionId的地址。比如以13.19案例中访问次数为例：
当一个新页面有个链接时<a href="SomeServlet">someServlet</a>是错误的！点刷新是不会计数的，因为cookie被禁止了。
应该是<a href="<%=response.encodeURL("SomeServlet")%>">someServlet</a>此时去点击刷新count会自动加1的。
注意事项：当用户禁止cookie时，encodeURL方法会在“SomeServlet”后面添加sessionId（不禁止不会有）。例如：
http://localhost:8080/web08/SomeServlet;jsessionid=CD20CBCCC38B4AA3137084D9966D2874
2）如何进行url重写
①response.encodeURL(String utl);//encodeURL方法用在链接地址、表单提交地址。
例如：<form action="<%=response.encodeURL("SomeServlet")%>">
注意事项：还一个encodeUrl()是个老方法，内部实现和encodeURL一模一样！
②response.encodeRedirectURL(String url);//用于重定向
例如：response.sendRedirect(response.encodeRedirectURL("list.do"));
③转发不用考虑！是服务器内部，不是浏览器访问服务器。

session的优点

1）session比较安全（相对于cookie）因为将所有状态都写在服务器端。
2）session能够保存的数据类型更加丰富（cookie只能保存字符串）。
3）session能够保存的数据大小更大（cookie只能保存大约4K左右的数据），理论上
session是没有限制的。
4）session没有被禁止的问题，也就不需要url重写（cookie可以被用户禁止）。

session的缺点

1）session会将数据放在服务器端，所以，对服务器的资源的占用比较大，而cookie会将数据保存在浏览器端，对服务器资源的占用没有。
可以将session存到数据库或文件中（钝化），采取最近最少使用原则。当再次使用session时，从数据库或文件中激活
2）session默认情况下，会将sessionId以cookie的方式发送给浏览器，浏览器会将session保存到内存中，如果浏览器关闭，浏览器发请求时就没有sessionId，服务器端的session对象就找不到了。
3）分布式系统下，需要考虑session的共享