一、Session的介绍

在Web开发中，服务器可以为每个用户浏览器创建一个会话对象(session对象)，注意：一个浏览器独占一个session对象(默认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的 session中取出该用户的数据，为用户服务。

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

  如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否包含了一个session标识(即sessionId),如果已经包含一个sessionId则说明以前已经为此客户创建过session，服务器就按照session id把这个session检索出来使用(如果检索不到，可能会新建一个，这种情况可能出现在服务端已经删除了该用户对应的session对象，但用户人为地在请求的URL后面附加上一个JSESSION的参数)。如果客户请求不包含sessionId，则为此客户创建一个session并且生成一个与此session相关联的sessionId，这个session id将在本次响应中返回给客户端保存。

二、Session的生命周期

1.Session的创建

一个常见的误解是以为session在有客户端访问时就被创建了，然而事实是直到某Server端程序调用了下列代码是才被创建:

HttpSession session = request.getSession(true);

注意

(1)如果JSP没有显示使用<% page session="false"%>关闭session，则JSP文件在编译成Servlet时会自动加上上面的一句代码，这也是JSP隐含的session对象的来历。

(2)访问.html静态资源因为不会被编译为Servlet，也就不涉及session的问题。

(3)当JSP页面没有显式禁止session时，在打开浏览器第一次请求该JSP时服务器会自动创建一个session，并赋予一个sessionId，发送给客户端浏览器。以后客户端接着请求本应用其他资源时会自动在请求头添加。

2.Session的销毁

(1)直接的调用HttpSession的invlidate()方法，该方法使session失效。

(2)超出HttpSession的过期时间。

第一种设置HttpSession的过期时间。

session.setMaxInactiveInterval(60); //单位为秒

第二种在Tomcat设置HttpSession的过期时间: 单位为分钟。

    <session-config><session-timeout>30</session-timeout></session-config>

(3)服务器卸载了当前Web应用。