session机制

 session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。  
   
  当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识   -   称为session   id，如果已包含一个session   id则说明以前已经为此客户端创建过session，服务器就按照session   id把这个session检索出来使用（如果检索不到，可能会新建一个），如果客户端请求不包含session   id，则为此客户端创建一个session并且生成一个与此session相关联的session   id，session   id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session   id将被在本次响应中返回给客户端保存。  
   
  1、session在何时被创建  
  一个常见的误解是以为session在有客户端访问时就被创建，然而事实是直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被创建，注意如果JSP没有显示的使用   <%@page   session="false"%>   关闭session，则JSP文件在编译成Servlet时将会自动加上这样一条语句HttpSession   session   =   HttpServletRequest.getSession(true);这也是JSP中隐含的session对象的来历。  
   
  由于session会消耗内存资源，因此，如果不打算使用session，应该在所有的JSP中关闭它。  
   
  2、session何时被删除  
  综合前面的讨论，session在下列情况下被删除a.程序调用HttpSession.invalidate();或b.距离上一次收到客户端发送的 session   id时间间隔超过了session的超时设置;或c.服务器进程被停止（非持久session）  
   
  3、如何做到在浏览器关闭时删除session  
  严格的讲，做不到这一点。可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose来监视浏览器的关闭动作，然后向服务器发送一个请求来删除session。但是对于浏览器崩溃或者强行杀死进程这些非常规手段仍然无能为力。  
   
  4、有个HttpSessionListener是怎么回事  
  你可以创建这样的listener去监控session的创建和销毁事件，使得在发生这样的事件时你可以做一些相应的工作。注意是session的创建和销毁动作触发listener，而不是相反。类似的与HttpSession有关的listener还有 HttpSessionBindingListener，HttpSessionActivationListener和 HttpSessionAttributeListener。