内置对象session 和httpSession对象是同一个东西吗？

一、session概述
Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时，如果该用户还没有会话，则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后，服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。

二、存储客户端信息

session对象维护着客户端用户和服务器端的状态，保存着用户与服务器整个交互过程中的信息，这个对象在用户关闭浏览器或session超时前一直有效。

三、销毁session

session对象销毁后，不可以再调用session对象，否则会报session already invalidate异常。

关闭浏览器时，只会使存储在客户端浏览器中的session cookie失效（即将存储的属性值清空），而不会使服务器端的session对象失效。

销毁isession的三种方式：

（1）通过session对象的invalidate()方法，语法格式为：session.invalidate();

（2）session Id的时间间隔，超过了session的最大有效时间，session就会消失。

（3）服务器进程停止，session失效。

四、session跟踪—URL重写

session跟踪概念：http协议只负责请求与响应，却并不关心客户端的请求是否来自相同的客户端。而在jsp中采用session跟踪来辨别客户端。一般session跟踪有URL重写、表单隐藏字段、Cookie和HttpSession。

URL重写：在URL地址后面添加一些数据来标识session，服务器就可以将session和这些数据关联起来。

优点：即使浏览器不支持cookie或用户禁用了cookie，也可以使用。

缺点：该情况数据长度受限制，容易暴露数据，安全上存在隐患。

五、session跟踪—表单隐藏字段

1、详述表单隐藏字段：一个web服务器可以发送一个HTML表单隐藏字段，以及一个唯一的session会话ID，每次当web浏览器发送请求时，session_id值可以用于保护不同的web浏览器的跟踪。

2、语法格式：

type属性：hidden表示该字段为隐藏字段，不会在浏览器中显示。当表单被提交时，其name属性和value属性的值被包含在get或post数据中。

缺点：当用户查看源代码时，可以看到隐藏字段的属性值，存在安全漏洞。

七、HttpSession对象

1、概念：Servlet提供了使用HttpSession接口来实现session跟踪，它是建立在Cookie和URL重写之上的高级接口。使用Cookie的前提是浏览器支持Cookie，若浏览器不支持Cookie或者Cookie被禁用，则使用URL重写，而使用URL重写需要添加附属信息，存在很大的安全漏洞，但使用Servlet不存在这样的问题，Servlet会自动提供数据的存储空间并将其和session关联起来。

Servlet可以查询到session对象并将其关联到当前request对象、创建新的session对象、查询与session相关联的信息、在session中存储信息和销毁session。