javaweb中的session

session是什么:

session，对话。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时，如果该用户还没有会话，则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后，服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。例如，如果用户指明不喜欢查看图形，就可以将该信息存储在 Session 对象中。

实际上Session 和cookie是类似的一种维持客户端和服务会话状态的技术，不过Session 安全性要比cookie高，这是因为Session 的数据是存放在服务端上的，所以相对的也会增加服务器的压力，所以Session 被应用于储存一些比较隐私的数据，例如用户名密码和用户的资料等。

Session与Cookie的区别

cookie与session最大的区别就是一个是将数据存放在客户端，一个是将数据存放在服务端。cookie是将信息都存放在客户端的浏览器内存或磁盘中，所以不是很安全，别人可以分析存放在本地的cookie数据来进行用户信息的dàoqiè或进行cookie欺骗。 
所以在安全性上session要好一些，session通信的一般实现形式是通过cookie来实现，与cookie不同的是，session只会保存一个sessionID在客户端，不会像cookie那样将具体的数据保存在客户端，session具体的数据只会保存在服务端上，在Servlet中session数据是被封装在一个对象里，而这个对象会被保存在对象池中，客户端发生请求时会带上它的sessionID，服务端就会根据这个sessionID，来从对象池中获得相应的session对象，从对象中获得session的具体数据，服务端通过这个session数据来保持或改变与客户端会话的状态。

Session机制

以上也介绍了Session有两个主要的东西，一个是SessionID，一个是存放在服务端对象池中的Session对象。客户端访问服务端的时候，会先判断这个客户端的请求数据中是否包含有SessionID，如果没有的话，就会认为这个客户端是第一次进行访问。因为是第一次访问，所以服务端会给客户端在对象池中创建一个Session对象（假设这个会话是需要维持的），并生成出这个对象的SessionID，接着会通过cookie将SessionID响应给客户端，同时会把Session对象放回对象池里。客户端接收响应数据后会将SessionID存放在本地，下一次再访问服务端的时候就会把SessionID给带上，服务端就能够通过SessionID获得相应的Session对象，Session就是以这样的一个机制维持会话状态的。 

如何获得Session对象

在代码中，通过request中的getSession方法来获得Session对象，这个方法可以传递一个布尔类型的参数，如果不传递的话默认为true。 
参数值为true时，会先问客户端有没有传递 SessionID过来，如果没有就会重新创建一个session对象。如果有SessionID，就去池里抓取session对象，对象池里反馈没有session对象的话，也会重新创建session对象。 

HttpSession接口中的方法

Session对象是HttpSession接口类型的，所以可以调用HttpSession中的方法，其中有以下几个主要的方法： 
getAttribute(String) 得到键的值 
getAttributeNames() 得到里面存储的键(key) 
removeAttribute(String) 按key删除数据 
setAttribute(String, Object) 存储键和值，如果已经存在值则会覆盖值 
invalidate() 销毁session对象 
isNew() 判断是否是新创建的session对象 
getCreationTime() 得到session对象的创建时间，返回的是长整型格式的时间 
getId() 得到sessionID 
getLastAccessedTime() 得到session的最后的访问时间