Session的概念应该是耳熟能详的。比如经典的面试问题:请解释下Session和Cookie的区别。
我们通常会说Session是存储在服务器端的一段数据,每个用户一份,用于存储和用户相关的数据。
平时我们经常使用request.getSession()方法获取Session对象,但是Session到底存在哪呢?
request对象是在http请求到达服务器后,由Servlet容器解析流数据生成的。Session本身对客户端是透明的,在客户端拿不到Session的任何数据。因此,解析http请求的输入流必然拿不到任何和Session相关的数据。那Servlet容器究竟是怎么在初始化request对象时,将Session对象构建出来的呢?
虽然客户端没有办法感知到Session对象,以及Session中的具体数据,但是客户端可以操作Cookie。因此,在Cookie中可以定义一个能检索到特定Session对象的key,将key值保存在Cookie中并在每次和服务器端交互时传递该键值对。这个key的名称就叫做JSESSIONID。
Servlet容器在构造request时,会获取Cookie中JSESSIONID的值,检索到保存的Session对象,并将对象赋值给request的session属性。
所以,Session是存储在Servlet容器中的,对于Spring Web应用,IoC容器是完全不知道何为Session。