深入理解HTTP Session

深入理解HTTP Session

session在web開發(fā)中是一個非常重要的概念，這個概念很抽象，很難定義，也是最讓人迷惑的一個名詞，也是最多被濫用的名字之一，在不同的場合，session一次的含義也很不相同。這里只探討HTTP Session。

為了說明問題，這里基于Java Servlet理解Session的概念與原理，這里所說Servlet已經(jīng)涵蓋了JSP技術(shù)，因為JSP最終也會被編譯為Servlet，兩者有著相同的本質(zhì)。

在Java中，HTTP的Session對象用javax.servlet.http.HttpSession來表示。

1、概念：

Session代表服務(wù)器與瀏覽器的一次會話過程，這個過程是連續(xù)的，也可以時斷時續(xù)的。在Servlet中，session指的是HttpSession類的對象，這個概念到此結(jié)束了，也許會很模糊，但只有看完本文，才能真正有個深刻理解。

2、Session創(chuàng)建的時間是：

一個常見的誤解是以為session在有客戶端訪問時就被創(chuàng)建，然而事實是直到某server端程序調(diào)用 HttpServletRequest.getSession(true)這樣的語句時才被創(chuàng)建，注意如果JSP沒有顯示的使用 <% @page session="false"%> 關(guān)閉session，則JSP文件在編譯成Servlet時將會自動加上這樣一條語句 HttpSession session = HttpServletRequest.getSession(true);這也是JSP中隱含的 session對象的來歷。 由于session會消耗內(nèi)存資源，因此，如果不打算使用session，應(yīng)該在所有的JSP中關(guān)閉它。

引申：

1）、訪問*.html的靜態(tài)資源因為不會被編譯為Servlet，也就不涉及session的問題。 2）、當JSP頁面沒有顯式禁止session的時候，在打開瀏覽器第一次請求該jsp的時候，服務(wù)器會自動為其創(chuàng)建一個session，并賦予其一個sessionID，發(fā)送給客戶端的瀏覽器。以后客戶端接著請求本應(yīng)用中其他資源的時候，會自動在請求頭上添加：Cookie:JSESSIONID=客戶端第一次拿到的session ID這樣，服務(wù)器端在接到請求時候，就會收到session ID，并根據(jù)ID在內(nèi)存中找到之前創(chuàng)建的session對象，提供給請求使用。這也是session使用的基本原理----搞不懂這個，就永遠不明白session的原理。 下面是兩次請求同一個jsp，請求頭信息：

通過圖可以清晰發(fā)現(xiàn)，第二次請求的時候，已經(jīng)添加session ID的信息。

3、Session刪除的時間是：

1）Session超時：超時指的是連續(xù)一定時間服務(wù)器沒有收到該Session所對應(yīng)客戶端的請求，并且這個時間超過了服務(wù)器設(shè)置的Session超時的最大時間。 2）程序調(diào)用HttpSession.invalidate() 3）服務(wù)器關(guān)閉或服務(wù)停止

4、session存放在哪里：

服務(wù)器端的內(nèi)存中。不過session可以通過特殊的方式做持久化管理。

5、session的id是從哪里來的，sessionID是如何使用的：

當客戶端第一次請求session對象時候，服務(wù)器會為客戶端創(chuàng)建一個session，并將通過特殊算法算出一個session的ID，用來標識該session對象，當瀏覽器下次（session繼續(xù)有效時）請求別的資源的時候，瀏覽器會偷偷地將sessionID放置到請求頭中，服務(wù)器接收到請求后就得到該請求的sessionID，服務(wù)器找到該id的session返還給請求者（Servlet）使用。一個會話只能有一個session對象，對session來說是只認id不認人。

6、session會因為瀏覽器的關(guān)閉而刪除嗎？

不會，session只會通過上面提到的方式去關(guān)閉。

7、同一客戶端機器多次請求同一個資源，session一樣嗎？ 一般來說，每次請求都會新創(chuàng)建一個session。

其實，這個也不一定的，總結(jié)下：對于多標簽的瀏覽器（比如360瀏覽器）來說，在一個瀏覽器窗口中，多個標簽同時訪問一個頁面，session是一個。對于多個瀏覽器窗口之間，同時或者相隔很短時間訪問一個頁面，session是多個的，和瀏覽器的進程有關(guān)。對于一個同一個瀏覽器窗口，直接錄入url訪問同一應(yīng)用的不同資源，session是一樣的。

8、session是一個容器，可以存放會話過程中的任何對象。

9、session因為請求（request對象）而產(chǎn)生，同一個會話中多個request共享了一session對象，可以直接從請求中獲取到session對象。

10、其實，session的創(chuàng)建和使用總在服務(wù)端，而瀏覽器從來都沒得到過session對象。但瀏覽器可以請求Servlet（jsp也是Servlet）來獲取session的信息?？蛻舳藶g覽器真正緊緊拿到的是session ID，而這個對于瀏覽器操作的人來說，是不可見的，并且用戶也無需關(guān)心自己處于哪個會話過程中。

原創(chuàng)地址：http://lavasoft.blog.51cto.com/62575/275589