---部分转自孤傲苍狼博客

一、Session简单介绍

　　在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的session中取出该用户的数据，为用户服务。

二、Session和Cookie的主要区别

• Cookie是把用户的数据写给用户的浏览器。
• Session技术把用户的数据写到用户独占的session中。
• Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到session对象。

三、session实现原理

3.1、服务器是如何实现一个session为一个用户浏览器服务的？

 　　服务器创建session出来后，会把session的id号，以cookie的形式回写给客户机，这样，只要客户机的浏览器不关，再去访问服务器时，都会带着session的id号去，服务器发现客户机浏览器带session id过来了，就会使用内存中与之对应的session为之服务。可以用如下的代码证明：

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {		response.setContentType("text/html;charset=UTF-8");		HttpSession session=request.getSession();				PrintWriter out=response.getWriter();				if(session.isNew()){			out.print("我是新创建的Session，我的ID是："+session.getId());		}else{			out.println("我是已经创建的Session，我的ID是"+session.getId());		}			}

 结果：

 

• 注意：只要浏览器没有关闭，那么浏览器操作的都是这个session对象，但是如果关闭了浏览器再来访问页面，就会再创建一个Session对象，因为关闭浏览器之存在cookie里的sessionId已经被销毁了，所以在重新请求的时候客户端浏览器无法返回sessionId给服务器，服务器只能重新分配一个session给客户端浏览器，这个新的session是没有任何信息的，所以需要重新sessionServlet.java设置。

 

 

四、浏览器禁用Cookie后的session处理

4.1、解决方案：URL重写

　　response.encodeRedirectURL(java.lang.String url) 用于对sendRedirect方法后的url地址进行重写。

　　response.encodeURL(java.lang.String url)用于对表单action和超链接的url地址进行重写

 

五、session对象的创建和销毁时机

5.1、session对象的创建时机

　　在程序中第一次调用request.getSession()方法时就会创建一个新的Session，可以用isNew()方法来判断Session是不是新创建的。

 

5.2、session对象的销毁时机

　　session对象默认30分钟没有使用，则服务器会自动销毁session，在web.xml文件中可以手工配置session的失效时间，例如：

1 
      2 
     
       7 
       8 9 
      
        10 
       
        index.jsp
        11 
       12 13 
       14 
      
        15 
       
        15
        16 
       17 18 
     

　　当需要在程序中手动设置Session失效时，可以手工调用session.invalidate方法，摧毁session。

1 HttpSession session = request.getSession();2 //手工调用session.invalidate方法，摧毁session3 session.invalidate();