深刻理解HTTP Session(转)

深刻理解HTTP Session

 

session在web开发中是一个很是重要的概念，这个概念很抽象，很难定义，也是最让人迷惑的一个名词，也是最多被滥用的名字之一，在不一样的场合，session一次的含义也很不相同。这里只探讨HTTP Session。

 

为了说明问题，这里基于Java Servlet理解Session的概念与原理，这里所说Servlet已经涵盖了JSP技术，由于JSP最终也会被编译为Servlet，二者有着相同的本质。

 

在Java中，HTTP的Session对象用javax.servlet.http.HttpSession来表示。

 

一、概念：Session表明服务器与浏览器的一次会话过程，这个过程是连续的，也能够时断时续的。在Servlet中，session指的是HttpSession类的对象，这个概念到此结束了，也许会很模糊，但只有看完本文，才能真正有个深入理解。

 

二、Session建立的时间是：

一个常见的误解是觉得session在有客户端访问时就被建立，然而事实是直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被建立，注意若是JSP没有显示的使用 <% @page session="false"%> 关闭session，则JSP文件在编译成Servlet时将会自动加上这样一条语句 HttpSession session = HttpServletRequest.getSession(true);这也是JSP中隐含的 session对象的来历。

因为session会消耗内存资源，所以，若是不打算使用session，应该在全部的JSP中关闭它。

 

引伸：

1）、访问*.html的静态资源由于不会被编译为Servlet，也就不涉及session的问题。

2）、当JSP页面没有显式禁止session的时候，在打开浏览器第一次请求该jsp的时候，服务器会自动为其建立一个session，并赋予其一个sessionID，发送给客户端的浏览器。之后客户端接着请求本应用中其余资源的时候，会自动在请求头上添加：

Cookie:JSESSIONID=客户端第一次拿到的session ID

这样，服务器端在接到请求时候，就会收到session ID，并根据ID在内存中找到以前建立的session对象，提供给请求使用。这也是session使用的基本原理----搞不懂这个，就永远不明白session的原理。

下面是两次请求同一个jsp，请求头信息：

经过图能够清晰发现，第二次请求的时候，已经添加session ID的信息。
 

三、Session删除的时间是：

1）Session超时：超时指的是连续必定时间服务器没有收到该Session所对应客户端的请求，而且这个时间超过了服务器设置的Session超时的最大时间。

2）程序调用HttpSession.invalidate()

3）服务器关闭或服务中止

 

四、session存放在哪里：服务器端的内存中。不过session能够经过特殊的方式作持久化管理。

 

五、session的id是从哪里来的，sessionID是如何使用的：当客户端第一次请求session对象时候，服务器会为客户端建立一个session，并将经过特殊算法算出一个session的ID，用来标识该session对象，当浏览器下次（session继续有效时）请求别的资源的时候，浏览器会偷偷地将sessionID放置到请求头中，服务器接收到请求后就获得该请求的sessionID，服务器找到该id的session返还给请求者（Servlet）使用。一个会话只能有一个session对象，对session来讲是只认id不认人。

 

六、session会由于浏览器的关闭而删除吗？

不会，session只会经过上面提到的方式去关闭。

 

七、同一客户端机器屡次请求同一个资源，session同样吗？

通常来讲，每次请求都会新建立一个session。

 

其实，这个也不必定的，总结下：对于多标签的浏览器（好比360浏览器）来讲，在一个浏览器窗口中，多个标签同时访问一个页面，session是一个。对于多个浏览器窗口之间，同时或者相隔很短期访问一个页面，session是多个的，和浏览器的进程有关。对于一个同一个浏览器窗口，直接录入url访问同一应用的不一样资源，session是同样的。

 

八、session是一个容器，能够存放会话过程当中的任何对象。

 

九、session由于请求（request对象）而产生，同一个会话中多个request共享了一session对象，能够直接从请求中获取到session对象。

 

十、其实，session的建立和使用总在服务端，而浏览器历来都没获得过session对象。但浏览器能够请求Servlet（jsp也是Servlet）来获取session的信息。客户端浏览器真正牢牢拿到的是session ID，而这个对于浏览器操做的人来讲，是不可见的，而且用户也无需关心本身处于哪一个会话过程当中。

 

本文出自 “熔 岩” 博客，请务必保留此出处http://lavasoft.blog.51cto.com/62575/275589