由来

采用在服务端保存http请求信息的方案，session是存储在服务器端，cookie是保存在服务器端。

过程

1 .当程序需要为某个客户请求创建一个session的时候，服务器端首先检查这个客户端的请求是否包含了一个seeisonid,如果已经包含了一个seesionid则说明以前以前一斤为客户创建了sessionid,服务器就可以按照这个sesionid检索出来使用
2 .如果检索不到，可能会新建一个seesioid出来使用
3 .如果客户请求不包含sessionid，则会为客户创建一个session兵生成一个于此相关的sessionid，并把这个在本次响应中返回客户端保存。

保存方式

1 .使用cookie，保存session id的方式可以采用cookie,这样在交互过程中浏览器可以自动按照规则把这个表示发送给服务器，这种cookie被称为session cookie
2 .url重写：由于cookie可以被认为禁用，必须有其他的机制以便在cookie禁用之后还能把sessionid传递给服务器，这种情况下可以把session id附在url路径的后面，附加的方式有两种，一种是作为url路径的附加信息，一种是作为查询字符串附加在url后面。
3 .要想在整个交互状态中都保持登录状态，就必须在每个客户端都必须包含这个session id。

超时管理

1 .web服务器是无法判断当前客户端浏览器是否还会继续访问，也无法检查客户端浏览器是否关闭，所以，及时客户已经离开或者关闭了浏览器，web服务端还是要保留与之对应的httpsession对象，但是随着时间的推移会基类大量不必要的消耗
2 .web服务器采取超时限制的办法来判断客户端是否还在继续访问