转自：https://blog.csdn.net/J080624/article/details/78562787
除了使用Cookie，Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增加了服务器的存储压力。

1.什么是session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上(内存或硬盘)。一般Session存储在服务器的内存中，tomcat的StandardManager类将session存储在内存中，也可以持久化到file，数据库，memcache，redis等。
客户端只保存sessionid到cookie中，而不会保存session，session销毁只能通过invalidate或超时(默认30分钟)，关掉浏览器并不会关闭session。
客户端浏览器访问服务器的时候，服务器把客户端信息以类似于散列表的形式记录在服务器上，这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。
Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。
当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否包含一个session标识(即，sessionId)。如果已经包含一个sessionId说明以前已经为此客户端创建过session，服务器就按照sessionId把这个session检索出来使用。
如果客户请求不包含sessionId，则为此客户创建一个session并且生成一个与此session相关的sessionId，这个sessionId将在本次响应中返回给客户端保存。

2.session的读取

Session对应的类为javax.servlet.http.HttpSession类。
每个来访者对应一个Session对象，所有该客户的状态信息都保存在这个Session对象里。
Session对象是在客户端第一次请求服务器的时候创建的。
Session也是一种key-value的属性对，通过getAttribute(Stringkey)和setAttribute(String key，Objectvalue)方法读写客户状态信息。
Servlet里通过request.getSession()方法获取该客户的Session。

HttpSession session = request.getSession();
//设置属性
session.setAttribute("name","tom");
//读取属性
session.getAttribute("name");
//移除属性
session.removeAttribute("name");
//设置有效期，单位为秒，-1代表永不过期
session.setMaxInactiveInterval(1000);
//使其失效
session.invalidate();

request还可以使用getSession(boolean create)来获取Session。
如果该客户的Session不存在
getSession(true)//先创建再返回
getSession(false)//返回null
getSession()//等同于第一
Servlet中必须使用request来编程式获取HttpSession对象，而JSP中内置了Session隐藏对象，可以直接使用。
如果使用声明了<%@ page session="false" %>，则Session隐藏对象不可用，使用将会抛出异常。
当多个客户端执行程序时，服务器会保存多个客户端的Session。获取Session的时候也不需要声明获取谁的Session。
Session机制决定了当前客户只会获取到自己的Session，而不会获取到别人的Session。各客户的Session也彼此独立，互不可见。
isNew()是指是否一个新创的session，当用户访问一个支持session的jsp网页时，session被创建，尽管有时session里面并没有任何东西。

3.session的生命周期

Session在用户第一次访问服务器的时候自动创建。
需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session，也可以使用request.getSession(true)强制生成Session。
详解说明如下：
session是服务器建立的，但服务器不会主动建立。当一个请求过来时，服务器并不会建立一个session,而是要这样：request.getSession();当我们用程序通知服务器时它才会建立一个会话。
在jsp文件中有一个默认的属性 <%@ page session=“true” %>,翻译成java后就是：
session = pageContext.getSession();
所以当我们访问一个jsp文件的时候，如果没有去更改这个默认值，那也会建立一个会话，这也是大多数人会认为自动创建session的原因了，其实还是相当于我们主动通知服务器去创建。
综上所述：Tomcat这类服务器不会自动的创建session,只有当我们主动通知它时，才会创建会话
Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服务器一次，无论是否读写Session，服务器都认为该用户的Session“活跃（active）”了一次。
由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就自动失效了。
Session的超时时间为maxInactiveInterval属性
可以通过对应的getMaxInactiveInterval()获取，通过setMaxInactiveInterval(longinterval)修改。
默认有效期为30分钟，30分钟内没有"活跃"则失效。如果"活跃"则重新计算生命周期。

//默认 time 1800
    int time = session.getMaxInactiveInterval();
    session.setMaxInactiveInterval(Integer.MAX_VALUE);

Session的超时时间也可以在web.xml中修改。另外，通过调用Session的invalidate()方法可以使Session失效。
invalidate()是指清空session对象里的东西，并不指清除这个session对象本身。
所以，要判断一个session里面是否存在自己想要的东西（这个session是否有效），是不能用isNew()的，应该用如下类似代码：

UserInfo userInfo=(UserInfo)session.getAttribute(”USERINFO”);
　　if (userInfo!=null)
　　{
    //...
　　}

虽然Session保存在服务器，对客户端是透明的，它的正常运行仍然需要客户端浏览器的支持。
这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一客户，因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie，它的值为该Session的id（也就是HttpSession.getId()的返回值）。Session依据该Cookie来识别是否为同一用户。
该Cookie为服务器自动生成的，它的maxAge属性一般为–1，表示仅当前浏览器内有效，并且不同的浏览器的窗口间不共享(同一浏览器共享)，关闭浏览器就会失效。

图1：JSESSIONID示例

因此同一机器的两个不同类型的浏览器的窗口访问服务器时，会生成两个不同的Session。

图2：不同浏览器窗口JSESSIONID示例

图3：浏览器窗口打开的链接JSESSIONID示例

4.URL重写

如果客户端浏览器将Cookie功能禁用，或者不支持Cookie怎么办？例如，绝大多数的手机浏览器都不支持Cookie。
Java Web提供了另一种解决方案：URL地址重写。

<a href="<%=response.encodeUrl(url)%>"></a>

URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。
这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。
encodeurl()方法在使用时，会首先判断Session是否启用，如果未启用，直接返回url。 然后判断客户端是否启用Cookie，如果未启用，则将参数url中加入SessionID信息，然后返回修改的URL；如果启用，直接返回参数url。

图4：URL重写

注意：Tomcat判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。
尽管客户端可能会支持Cookie，但是由于第一次请求时不会携带任何Cookie（因为并无任何Cookie可以携带），URL地址重写后的地址中仍然会带有jsessionid。
当第二次访问时服务器已经在浏览器中写入Cookie了，因此URL地址重写后的地址中就不会带有jsessionid了。
第一次访问如下图：
此时浏览器支持cookie；

图5：第一次访问效果

图6：第二次访问效果

5.session中禁止使用cookie

既然WAP上大部分的客户浏览器都不支持Cookie，索性禁止Session使用Cookie，统一使用URL地址重写会更好一些。
Java Web规范支持通过配置的方式禁用Cookie。
打开项目sessionWeb的WebRoot目录下的META-INF文件夹（跟WEB-INF文件夹同级，如果没有则创建），打开context.xml（如果没有则创建），编辑内容如下：

/META-INF/context.xml
<?xml version='1.0' encoding='UTF-8'?>
<Context path="/sessionWeb"cookies="false">
</Context>

或者修改Tomcat全局的conf/context.xml，修改内容如下：

<!-- The contents of this file will be loaded for eachweb application -->
<Context cookies="false">
    <!-- ... 中间代码略 -->
</Context>

部署后TOMCAT便不会自动生成名JSESSIONID的Cookie，Session也不会以Cookie为识别标志，而仅仅以重写后的URL地址为识别标志了。
注意：该配置只是禁止Session使用Cookie作为识别标志，并不能阻止其他的Cookie读写。也就是说服务器不会自动维护名为JSESSIONID的Cookie了，但是程序中仍然可以读写其他的Cookie。

6.sessionId

sessionid是一个会话的key，浏览器第一次访问服务器会在服务器端生成一个session，有一个sessionid和它对应。tomcat生成的sessionid叫做jsessionid。
session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建，tomcat的ManagerBase类提供创建sessionid的方法：随机数+时间+jvmid。
其存储在服务器的内存中，tomcat的StandardManager类将session存储在内存中，也可以持久化到file，数据库，memcache，redis等。客户端只保存sessionid到cookie中，而不会保存session，session销毁只能通过invalidate或超时，关掉浏览器并不会关闭session。
session不会因为浏览器的关闭而删除。但是存有session ID的cookie的默认过期时间是会话级别。也就是用户关闭了浏览器，那么存储在客户端的session ID便会丢失，但是存储在服务器端的session数据并不会被立即删除。从客户端即浏览器看来，好像session被删除了一样（因为我们丢失了session ID，找不到原来的session数据了）。

7.Session Cookie

session通过SessionId来区分不同的客户，session是以cookie或url重写为基础的。默认使用cookie来实现(如果浏览器支持的话)，系统会创造一个名为JESSIONID的输出cookie，这称之为session cookie。以区别persistent cookie(也就是我们通常所说的cookie)。
session cookie是储存在浏览器内存的，并非写到硬盘上，通常看不到JESSIONID。但是当把浏览器的cookie禁用后，web服务器会采用URL重写的方式传递session id。这时地址栏将会看到。
session cookie只针对某一次会话而言，会话结束，session cookie也就跟着消失了。关闭浏览器只会使浏览器内存里的session cookie消失，但不会使服务器端的session对象消失。同样也不会使已经保存到硬盘的持久化cookie消失。
但是一旦session cookie消失，没有了session id，服务器端的原先对应的session对象也就无从分辨，相当于"失效"。