Session 简介以及实现与工作原理

Session 是存放在服务器端的，类似于Session结构来存放用户数据，当浏览器 第一次发送请求时，服务器自动生成了一个Session和一个Session ID用来唯一标识这个Session，并将其通过响应发送到浏览器。当浏览器第二次发送请求，会将前一次服务器响应中的Session ID放在请求中一并发送到服务器上，服务器从请求中提取出Session ID，并和保存的所有Session ID进行对比，找到这个用户对应的Session。

什么是Session

Session 是一种Web会话中的常用状态之一

在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的session中取出该用户的数据，为用户服务。

Session 是一个键值对（服务器）

一般情况下，服务器会在一定时间内（默认30分钟）保存这个 Session，过了时间限制，就会销毁这个Session。在销毁之前，程序员可以将用户的一些数据以Key和Value的形式暂时存放在这个 Session中。当然，也有使用数据库将这个Session序列化后保存起来的，这样的好处是没了时间的限制，坏处是随着时间的增加，这个数据 库会急速膨胀，特别是访问量增加的时候。一般还是采取前一种方式，以减轻服务器压力。

Session 提供了一种把信息保存在服务器内存中的方式

Session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。 他能储存任何数据类型，包含自定义对象。在整个会话过程中，只要SessionID的cookie不丢失，都会保存Session信息的。

Session不能跨进程访问，只能由该会话的用户访问

应为提取Session数据的id标识是以Cookie的方式保存到访问者浏览器的缓存里的。

当会话终止，或过期时，服务器就清除Session对象

Session常用于保存登录用户的ID

Session保存的数据是跨页面全局型的

Session实现与工作原理

浏览器和服务器采用http无状态的通讯，为了保持客户端的状态，使用session来达到这个目的。在session机制中，也采用了这样的一个唯一的session_id来标示不同的用户，不同的是：浏览器每次请求都会带上由服务器为它生成的session_id。

简单介绍一下流程：

当客户端访问服务器时，服务器根据需求设置session，将会话信息保存在服务器上，同时将标示session的session_id传递给客户端浏览器，浏览器将这个session_id保存在内存中(还有其他的存储方式，例如写在url中)，我们称之为无过期时间的cookie。浏览器关闭后，这个cookie就清掉了，它不会存在用户的cookie临时文件。

以后浏览器每次请求都会额外加上这个参数值，再服务器根据这个session_id，就能取得客户端的数据状态。

如果客户端浏览器意外关闭，服务器保存的session数据不是立即释放，此时数据还会存在，只要我们知道那个session_id,就可以继续通过请求获得此session的信息；但是这个时候后台的session还存在，但是session的保存有一个过期时间，一旦超过规定时间没有客户端请求时，他就会清除这个session。

下面介绍一下session的存储机制，默认的session是保存在files中，即以文件的方式保存session数据。在php中主要根据php.ini的配置session.save_handler来选择保存session的方式。

这里顺便说明一下，如果要做服务器的lvs，即多台server的话，我们一般使用memcached的方式session，否则会导致一些请求找不到session。

一个简单的memcache配置：

session.save_handler = memcache

session.save_path = "tcp://10.28.41.84:10001"
当然如果一定要使用files文件缓存，我们可以将文件作nfs，将所有的保存session文件定位到一个地方。
刚才讲返回给用户的session-id最终保存在内存中，这里我们也可以设置参数将其保存在用户的url中。

Session的客户端实现形式（即Session ID的保存方法）

一般浏览器提供了两种方式来保存，还有一种是程序员使用html隐藏域的方式自定义实现：

[1] 使用Cookie来保存，这是最常见的方法，本文“记住我的登录状态”功能的实现正式基于这种方式的。服务器通过设置Cookie的方式将Session ID发送到浏览器。如果我们不设置这个过期时间，那么这个Cookie将不存放在硬盘上，当浏览器关闭的时候，Cookie就消失了，这个Session ID就丢失了。如果我们设置这个时间为若干天之后，那么这个Cookie会保存在客户端硬盘中，即使浏览器关闭，这个值仍然存在，下次访问相应网站时，同 样会发送到服务器上。

[2] 使用URL附加信息的方式，也就是像我们经常看到JSP网站会有aaa.jsp?JSESSIONID=*一样的。这种方式和第一种方式里面不设置Cookie过期时间是一样的。

[3] 第三种方式是在页面表单里面增加隐藏域，这种方式实际上和第二种方式一样，只不过前者通过GET方式发送数据，后者使用POST方式发送数据。但是明显后者比较麻烦。

session对象的创建和销毁时机

session对象的创建时机：

在程序中第一次调用request.getSession()方法时就会创建一个新的Session，可以用isNew()方法来判断Session是不是新创建的。

session对象的销毁时机：

session对象默认30分钟没有使用，则服务器会自动销毁session，在web.xml文件中可以手工配置session的失效时间。

Q&A

用户开一个浏览器访问一个网站，服务器是不是针对这次会话创建一个session？

不是的。session的创建时机是在程序中第一次去执行request.getSession();这个代码，服务器才会为你创建session。 

关闭浏览器，会话结束，session是不是就销毁了呢？ 

不是的。session是30分钟没人用了才会死，服务器会自动摧毁session。