前言
因为 HTTP 协议是一个无状态协议,即 Web 应用程序无法区分收到的两个 HTTP 请求是否是同一个浏览器发出的。为了跟踪用户状态,服务器可以向浏览器分配一个唯一ID,并以 Cookie 的形式发送到浏览器,浏览器在后续访问时总是附带此 Cookie ,这样,服务器就可以识别用户身份。
通俗的说,就好比每个人都有身份证,每张身份证上都存有本人的详细信息和身份证号码,现在出门都需要有身份证来乘坐交通工具或者住宿等等,你在第一次使用时需要办理属于你自己的身份证,在下一次需要使用的时候,你不用再去办理,只需要携带你第一次办理好的身份证即可,等你办理相关业务时,工作人员不需要认识你,只需要根据你的身份证来确认你的信息。
这个例子中你本人就可以理解为是浏览器,你的详身份证号就好比是浏览器的唯一ID,你的身份证就相当于时Cookie,这样理解是不是简单很多。
什么是session?
像前面所说,我们把这种基于唯一ID识别用户身份的机制称为 Session 。 每个用户第一次访问服务器后,会自动获得 一个 Session ID 。如果用户在一段时间内没有访问服务器,那么 Session 会自动失效(可以理解为身份证的有效期限),下次即使带 着上次分配的 Session ID 访问,服务器也认为这是一个新用户,会分配新的 Session ID (办理新的身份证)。一次 Session 会话中往往包含着若干次 request 请求。
JavaEE 的 Servlet 机制内建了对 Session 的支持。当我们需要获取 Session 时,可以通过 requ est 请求对象的 getSession() 方法:
HttpSession session = request.getSession();
服务器识别 Session 的关键就是依靠一个名为 JSESSIONID 的 Cookie 。在 Servlet 中第一次调用 requst.getSession() 时, Servlet 容器自动创建一个 SessionID ,然后通过一个名为 JSESSIONID 的 Cookie 发送给浏览器:
使用不同的浏览器访问同一个服务器所获取的sessionID是不一样的:
使用 Session 时,由于服务器把所有用户的 Session 都存储在内存中,如果遇到内存不足的情况,就 需要把部分不活动的 Session 序列化到磁盘上,这会大大降低服务器的运行效率,因此,放入 Sessi on 的数据不能太大,否则会影响服务器的运行。