Session的创建时间

2008年8月17日 0:25

        上一篇文章转载了《Cookie和Session专题 》，读了以后发现自己很多地方真的很白，里面的第14条：

十四、session什么时候被创建
*************************************************************************************
一个常见的错误是以为 session 在有客户端访问时就被创建，然而事实是直到某 server 端程序(如 Servlet )调用HttpServletRequest.getSession(true)这样的语句时才会被创建。
*************************************************************************************

我一开始还不信，做个试验我信了。

        一开始不信是因为，用 FireFox 测试清空了Cookie ，只要一跑一个jsp ，马上会看到生成了一个名字是 JSESSIONID 的Cookie ，注意这个是  Session Cookie （会话Cookie），不是 Persistent Cookie （持久Cookie），这个《Cookie和Session专题 》一文中讲的很明白，会话 Cookie 是为实现 session 机制而采用的在 Client 端与 Server 端之间保持状态的解决方案之一，在默认情况下是保存在 Client 端内存中的。注意：会话 Cookie 的“会话”这里不是指 Server 端的 Session ，而是指的是浏览器，所以会话 Cookie 的生命周期不是与 Server 端的 Session 那个会话相同，而是与浏览器相同，就是说只要开着浏览器会话 Cookie 就存在，关闭浏览器它就过期了。但是会话 Cookie 的值是与 Server 端的 SessionId 对应相同的。就是说会话Cookie随着Server端Session的创建而创建，但并不随着Session的过期而过期，而是随着Client端的浏览器关闭而销毁。 这说明只要会话Cookie 出现了，Server 端的 Session 就已经创建了。

        我一开始的错误想法是：我的 jsp 里没有 HttpServletRequest.getSession(true) 的代码阿，但是 JSESSIONID 的Cookie 出现了就说明 Server 端 Session 创建了，这与《Cookie和Session专题 》上面讲的不符啊，不过马上想通了，jsp 属于动态页，本质就是一个 Servlet ，编译后的 jsp 是要到 Server 端进行交互的（即便 jsp 里没写一句交互的代码），因为 jsp 里有内置对象，内置对象就是和 Server 交互的产物，所以如果你的首页是个 jsp 页的话，即便没有HttpServletRequest.getSession(true)，Session 也会创建。

        如果首页是*.html 就不同了，再将 FireFox 的 Cookie 都清除了，将首页设置为 index.html, 回车，查看，果然这次没有JSESSIONID 的 Cookie 生成，这说明Server的Session也没有创建，让 index.html 提交到一个Servlet, 确实可以证明没有 HttpServletRequest.getSession(true) ，Sesion是不会创建的， 即便Servlet又转发（或者重定向）到第二个页，只要第二个页依然不是jsp页，Session就依然不会创建，FireFox 当然也没有名字为 JSESSIONID 的 Cookie 生成。

        那么我以前一直错误地认为当某个Client端请求开始时，Session就创建了，此后Session就一直存在直到过期，而request在当前Client的一系列请求操作中有可能销毁和新建，所以Session的生命周期要比request长。现在看来这么想大错特错了，Session和Request的生命周期根本就是火星和地球，拿来相比是没有任何意义的。好像是在问鲨鱼和老虎PK谁会赢，没有意义的问题. . .

        想起研究Session和Cookie是因为单位最近一个项目在做登录系统时遇到些问题，类似单点登录、Session过期、客户信息安全、Cookie使用等，下一片想些这些，我想到了3到4种方案，选择哪一种犹豫不定，因为我是个初学者，写出来是想让大家多给提提意见。特此感谢！

评论

3 楼 buaawhl 2008-08-24  

Session ID 只是一个号码，对应一个Session存储空间。

浏览器进程第一次访问Web Server的时候，Web Server就分配一个Session ID。在HTTP Response中Set Cookie 返回给浏览器进程。
以后浏览器的HTTP Request都要携带这个Session ID。

Web Server 的 Session 是一个存储空间。每一个Session ID对应一个Session存储空间。
当需要用到Session存储空间的时候，就会分配这个Session空间。

----------------------

引用

就是说会话Cookie随着Server端Session的创建而创建，但并不随着Session的过期而过期，而是随着Client端的浏览器关闭而销毁。

Web Server的Session ID会过期，对应的Session存储空间也会过期。
浏览器端的Session ID传过去之后，Web Server发现找不到这个Session ID，就会报告“Session过期或者不存在”。

----------------------

引用

如果首页是*.html 就不同了，再将 FireFox 的 Cookie 都清除了，将首页设置为 index.html, 回车，查看，果然这次没有JSESSIONID 的 Cookie 生成，这说明Server的Session也没有创建，

看不明白这是在做什么。清除Cookie? 不太熟悉FireFox的清除Cookie是做什么。在IE中，清除Cookie的意思是清除“文件cookie”。和Session Cookie毫无关系。Session Cookie之存放在浏览器进程的内存中。
要测试这个问题，应该关闭当前浏览器进程，然后开启一个新的浏览器进程。

2 楼 gotothework 2008-08-24  

如果用了url重写，所有的链接都要用到url重写，非常的麻烦，与其url重写，还不如不写了

1 楼 eddie404956 2008-08-17  

不用大惊小怪啊，多看看sun的文档，或者sun的那个第二级的考试指南就有讲的。另外，如果禁止了cookie就只能url重写来保持会话了。