Session Tracking

一、Servlet的三种会话机制

1、SSL

略

2、cookies

采用这种方式进行 会话跟踪时，一当服务器接收到一个http请求，如果是第一次请求，服务器就为其创建一个Session，把用户请求的页面同sessionid一起返回 给用户，然后连接被关闭。当用户再次发出请求时，会把sessionid一起发送到服务器，通过sessionid的比较，可以将用户一一对应起来。服务 器给用户发送sessionid实际上是在用户的浏览器内存中写了一个cookie，在jsp中，这个参加会话的cookie的名字必须是 JSESSIONID，当所在浏览器窗口关闭，这个cookie也就消失了。我曾经怀疑JSESSIONID如何区分不同的cookie，其实有两点可以 保证其独立性：其一，服务器给同一客户端只分配一个会话cookie。其二，cookie不可以跨域访问。

3、URL重写

当用户的浏览器禁用cookie时，就可以采用URL重写机制来跟踪用户。其原理是，把sessionid附加在链接上返回给用户，用户再次访问时将带上sessionid这个参数。

另外servlet容器会判断客户端是否禁用了cookie，如果没有禁用，采取cookies会话方式，否则URL.

二、Session的生命周期

session 在用户第一次访问网站时建立，其数据维护在服务器的内存中，并在用户的浏览器中有一个与之相对应的sessionid。如果用户长时间没有响 应，sessionid将在规定的时间间隔内被销毁，默认是30分钟，另外还可以通过调用invalidate()方法，直接使会话失效。在 Servlet中，对session的相关操作，都在HttpSession接口中定义，需要时可以查找其api文档。

三、Cookie

Cookie定义在java.servlet.http.Cookie中，使用时查询其文档即可。如果要发送cookie，可以调用HttpServletRespone接口的addCookie()方法。

四、HttpSessionBindingListener接口

如果一个对象实现了HttpSessionBindingListener接口，当这个对象被绑定到session中或者从session中被删除时，Servlet容器会通知这个对象，这个对象接收到通知后可以做一些相应的操作。