session原理

 

大家都知道session 是web 中在服务器端保存用户状态的一种方式,但归根结底,http 协议本身属于无状态协议,session到底是怎么搞出来的呢,其实服务器端维护session用到了两种方式:

1.cookie保存sessionid,在浏览器支持cookie的情况下,服务器一般首选这种方式,在用户请求有状态的服务器时,服务器会写如 客户端cookie中一个jsessionid(在tomcat中式这样,其他服务器也类似),这里会有一个服务器生成session id用来保存这次会话的id 编号,服务器维护了一个session池,这个池是有时间限制的,一般可以在web.xml中配置session-config选项中的,session-timeout,这样客户端在每次请求中代上服务器分配的sessionid,服务器自己知道是哪个用户了,从而达到维护客户端状态的目的。

2.服务器考虑到客户端浏览器不支持cookie,那么采取一种叫做url rewrite的技术,这种方式体现在,用户在请求服务端时,会在用户请求的url后边加入;jsessionid = xxxx,这样的参数,效果与存入cookie一样,还是通过客户端记录sessionid 编号来维护客户端状态。

3.客户端cookie又分为进程cookie和持久cookie,简单点说就是cookie要么保存在浏览器进程中,随浏览器关闭而消失,要么保存在客户端本地文件中.具体采用哪种保存方式,由服务器决定。一般在servlet 中使用javax.servlet.http.Cookie的setMaxAge()来决定是进程cookie还是持久cookie。在tomcat中,tomcat创建了jsessionid这个cookie,并且设置setMaxAge(-1),也就是说tomcat下jsessionid的cookie是进程cookie,在客户端是看不到这个cookie文件的。

所以 ,有状态的web session 就是这样被实现的,但是在并发量大,集群的环境中使用session可能消耗服务端很大的资源,所以尽量在session里少存入信息。