会话对象session的创建，保存以及与客户端之间会话原理，过程

一：session的解释：

      session即会话对象，它保存了本次客户端与服务端的通信信息。且session数据是存放在服务端的。

二：与客户端的通信过程：

   服务端为他们之间的会话创建一个session对象。并生成一个唯一sessionId（JSessionId）返回给客户端的Cookie中，这个JsessionId对应于服务端创建的session对象，之后客户端每次向服务端发送请求携带着JsessionId对象，服务端通过JsessionId来找到对应的session对象使用。若客户端没有携带JsessionId，则创建一个session并且生成一个于此相关联的JSessionId来返回客户端。

问题：如何保证多次请求是同一会话对象或者服务端如何确定用户的身份？

    服务端通过向客户端写一个Jsessionid。客户端每次请求将携带Jsessionid的值，服务端每次会根据客户端所带的JsessionId的值来判断是否为同一用户。

以下是我遇到的一些问题进行总结：

1.sessionid如何产生？由谁产生？保存在哪里？

面试问道这个我居然不知道怎么回答，当然也是因为我确实没有研究过。下面就是百度了一篇文章后简单回答这个问题。

参考：http://www.cnblogs.com/sharpxiajun/p/3395607.html

http://lavasoft.blog.51cto.com/62575/275589/

sessionid是一个会话的key，浏览器第一次访问服务器会在服务器端生成一个session，有一个sessionid和它对应。tomcat生成的sessionid叫做jsessionid。

session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建，tomcat的ManagerBase类提供创建sessionid的方法：随机数+时间+jvmid；

它存储在服务器的内存中，tomcat的StandardManager类将session存储在内存中，也可以持久化到file，数据库，memcache，redis等。客户端只保存sessionid到cookie中，而不会保存session，session销毁只能通过invalidate或超时，关掉浏览器并不会关闭session。

2.Session在何时创建呢？

      当然还是在服务器端程序运行的过程中创建的，不同语言实现的应用程序有不同创建Session的方法，而在Java中是通过调用HttpServletRequest的getSession方法（使用true作为参数）创建的。在创建了Session的同时，服务器会为该Session生成唯一的Session id，而这个Session id在随后的请求中会被用来重新获得已经创建的Session；在Session被创建之后，就可以调用Session相关的方法往Session中增加内容了，而这些内容只会保存在服务器中，发到客户端的只有Session id；当客户端再次发送请求的时候，会将这个Session id带上，服务器接受到请求之后就会依据Session id找到相应的Session，从而再次使用之。

创建：sessionid第一次产生是在直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被创建。

删除：超时；程序调用HttpSession.invalidate()；程序关闭；

session存放在哪里：服务器端的内存中。不过session可以通过特殊的方式做持久化管理（memcache，redis）。

session的id是从哪里来的，sessionID是如何使用的：当客户端第一次请求session对象时候，服务器会为客户端创建一个session，并将通过特殊算法算出一个session的ID，用来标识该session对象

3.如何删除或者使会话对象失效：

   1）服务器角度：重新启动服务器

      客户端角度：①手动删除JSessionId信息  ②设置失效时间③关闭浏览器

   2）session会因为浏览器的关闭而删除吗？

        Cookie分为内存中Cookie（也可以说是进程中Cookie）和硬盘中Cookie。大部分的Session机制都使用进程中Cookie来保存Session id的，关闭浏览器后这

   个进程也就自动消失了，进程中的Cookie自然就消失了，那么Session id也跟着消失了，再次连接到服务器时也就无法找到原来的Session了。
       其实服务器是不会知道浏览器关闭了没有（当然，你可以在关闭的时候去通知服务器，但一般都不会这样做），所以关闭浏览器时服务器是不会删除    Session的，也正是这个原因服务器才会设置一个Session失效时间的，不然服务器早晚会被撑爆的。等距离上一次使用该Session的时间达到设置的失效时间

 时，服务器就会认为客户端已停止活动，便会将相应的Session删除。
       当然，我们可以在登陆时点击下次自动登录，比如说CSDN的“记住我一周”，或者我们的购物车信息可以在切换不同浏览器时依然可用。这就要用到我们上文提到的另一种Cookie了——硬盘中Cookie，这时Session id将长期保存在硬盘上的Cookie中，直到失效为止。

 

4.下面是tomcat中session的创建：

       ManagerBase是所有session管理工具类的基类，它是一个抽象类，所有具体实现session管理功能的类都要继承这个类，该类有一个受保护的方法，该方法就是创建sessionId值的方法：

（ tomcat的session的id值生成的机制是一个随机数加时间加上jvm的id值，jvm的id值会根据服务器的硬件信息计算得来，因此不同jvm的id值都是唯一的），

      StandardManager类是tomcat容器里默认的session管理实现类，

它会将session的信息存储到web容器所在服务器的内存里。

PersistentManagerBase也是继承ManagerBase类，它是所有持久化存储session信息的基类，PersistentManager继承了PersistentManagerBase，但是这个类只是多了一个静态变量和一个getName方法，目前看来意义不大， 对于持久化存储session，tomcat还提供了StoreBase的抽象类，它是所有持久化存储session的基类，另外tomcat还给出了文件存储FileStore和数据存储JDBCStore两个实现。