当一个用户注销时,最好的办法是将这个session 失效,即调用 HttpSession的invalidate()方法。因为如果仅仅清除Session中的值,会存在潜在的问题,一般的操作可能没有问题,有时就会存在问题,比如A用户登录后,使用IE6浏览器新建一个窗口,然后在新的窗口中注销用户,再用B用户登录,则此时,A用户就有了B用户的操作权限,因为系统会将A用户当作B用户。