session什么时候被创建

session什么时候被创建
*************************************************************************************
一个常见的错误是以为 session 在有客户端访问时就被创建，然而事实是直到某 server 端程序(如 Servlet )调用HttpServletRequest.getSession(true)这样的语句时才会被创建。
*************************************************************************************

我一开始还不信，做个试验我信了。

        一开始不信是因为，用 FireFox 测试清空了Cookie ，只要一跑一个jsp ，马上会看到生成了一个名字是 JSESSIONID 的Cookie ，注意这个是  Session Cookie （会话Cookie），不是 Persistent Cookie （持久Cookie），这个《Cookie和Session专题 》一文中讲的很明白，会话 Cookie 是为实现 session 机制而采用的在 Client 端与 Server 端之间保持状态的解决方案之一，在默认情况下是保存在 Client 端内存中的。注意：会话 Cookie 的“会话”这里不是指 Server 端的 Session ，而是指的是浏览器，所以会话 Cookie 的生命周期不是与 Server 端的 Session 那个会话相同，而是与浏览器相同，就是说只要开着浏览器会话 Cookie 就存在，关闭浏览器它就过期了。但是会话 Cookie 的值是与 Server 端的 SessionId 对应相同的。就是说会话Cookie随着Server端Session的创建而创建，但并不随着Session的过期而过期，而是随着Client端的浏览器关闭而销毁。 这说明只要会话Cookie 出现了，Server 端的 Session 就已经创建了。

        我一开始的错误想法是：我的 jsp 里没有 HttpServletRequest.getSession(true) 的代码阿，但是 JSESSIONID 的Cookie 出现了就说明 Server 端 Session 创建了，这与《Cookie和Session专题 》上面讲的不符啊，不过马上想通了，jsp 属于动态页，本质就是一个 Servlet ，编译后的 jsp 是要到 Server 端进行交互的（即便 jsp 里没写一句交互的代码），因为 jsp 里有内置对象，内置对象就是和 Server 交互的产物，所以如果你的首页是个 jsp 页的话，即便没有HttpServletRequest.getSession(true)，Session 也会创建。

        如果首页是*.html 就不同了，再将 FireFox 的 Cookie 都清除了，将首页设置为 index.html, 回车，查看，果然这次没有JSESSIONID 的 Cookie 生成，这说明Server的Session也没有创建，让 index.html 提交到一个Servlet, 确实可以证明没有 HttpServletRequest.getSession(true) ，Sesion是不会创建的， 即便Servlet又转发（或者重定向）到第二个页，只要第二个页依然不是jsp页，Session就依然不会创建，FireFox 当然也没有名字为 JSESSIONID 的 Cookie 生成。

        那么我以前一直错误地认为当某个Client端请求开始时，Session就创建了，此后Session就一直存在直到过期，而request在当前Client的一系列请求操作中有可能销毁和新建，所以Session的生命周期要比request长。现在看来这么想大错特错了，Session和Request的生命周期根本就是火星和地球，拿来相比是没有任何意义的。好像是在问鲨鱼和老虎PK谁会赢，没有意义的问题. . .

        想起研究Session和Cookie是因为单位最近一个项目在做登录系统时遇到些问题，类似单点登录、Session过期、客户信息安全、Cookie使用等，下一片想些这些，我想到了3到4种方案，选择哪一种犹豫不定，因为我是个初学者，写出来是想让大家多给提提意见。特此感谢！

评论

1 楼 在世界的中心呼喚愛 2013-11-13  

楼主，现在再看这篇文章，还是这样感悟？