在服务器中系统会为每个会话维护一个 Session。不同的会话,对应不同的 Session。系统是如何识别各个 Session 对象的?即是如何做到在同一会话过程中,一直使用的是同一个 Session 对象呢?
(1) 写入 Session 列表
服务器对当前应用中的 Session 是以 Map 的形式进行管理的,这个 Map 称为 Session 列表。该 Map 的 key 为一个 32 位长度的随机串,这个随机串称为 JSessionID,value 则为 Session对象的引用。当用户第一次提交请求时,服务端 Servlet 中执行到 request.getSession()方法后,会自动生成一个 Map.Entry 对象,key 为一个根据某种算法新生成的 JSessionID,value 则为新创建的 HttpSession 对象。
(2) 服务器生成并发送 Cookie
在将 Session 信息写入 Session 列表后,系统还会自动将“JSESSIONID”作为 name,这个 32 位长度的随机串作为 value,以 Cookie 的形式存放到响应报头中,并随着响应,将该Cookie 发送到客户端。
(3) 客户端接收并发送 Cookie
客户端接收到这个 Cookie 后会将其存放到浏览器的缓存中。即,只要客户端浏览器不关闭,浏览器缓存中的 Cookie 就不会消失。当用户提交第二次请求时,会将缓存中的这个 Cookie,伴随着请求的头部信息,一块发送到服务端。
(4) 从 Session 列表中查找
服务端从请求中读取到客户端发送来的 Cookie,并根据 Cookie 的 JSSESSIONID 的值,从Map 中查找相应 key 所对应的 value,即 Session 对象。然后,对该 Session 对象的域属性进行读写操作。