Session之我总结

说到Session、Cookie 相信做web开发的同学都有所了解，在这里说说我的知道的关于Seesion的东西。

   Session其实也是Cookie来实现的，叫非永久性Cookie（保存SessionId）只有在浏览器关闭后这些Cookie才随之消失。可能有些人会问，这个非永久性Cookie放在哪？答：放在游览器进程的内存中，所以当我们关闭游览器Seesion也会随之消亡。

    下面介绍下Session的产生过程：

        1.第一次客户端访问服务器，会得到一个SessionID，以非永久性的 Cookie发送到客户端。

        2.在这个浏览器关闭之前访问这个URL，浏览器都会把这个SessionID发送到服务端，服务端根据SessionID来维持对应此客户的服务端的各种状态（就是Session中保存的各种值），在web应用程序中可以对这些Session进行操作。

     3.当服务端发现某个SessionID已经过时，即某个客户已经在设置的超时时间内没有再次访问此站点，即将此SessionID，连同跟此SessionID相关的所有Session变量删除。

     4.客户端的浏览器未关闭前，并不知道服务端已经将这个SessionID删除，客户端依旧发送此SessionID的cookie到服务端，只是此时的服务端已经不认识此SessionID了，会将此用户当做新用户，再次分配一个新的SessionID。

在谈论session机制的时候，常常听到这样一种误解;只要关闭浏览器，session就消失了。其实可以想象一下会员卡的例子，除非顾客主动对店家提出销卡，否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的，除非程序通知服务器删除一个session，否则服务器会一直保留，程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已经关闭，之所以会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个 session id就消失了，再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然能够找到原来的session。恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省存储空间。

说到这里肯定有人会问如果客户端禁止Cookie那么Seesion不就用不了了吗？

答：

由于cookie可以被人为的禁止，必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面，附加方式也有两种，一种是作为URL路径的附加信息，表现形式为http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764另一种是作为查询字符串附加在URL后面，表现形式为http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764这两种方式对于用户来说是没有区别的，只是服务器在解析的时候处理的方式不同，采用第一种方式也有利于把session id的信息和正常程序参数区分开来。为了在整个交互过程中始终保持状态，就必须在每个客户端可能请求的路径后面都包含这个session id。