关于session工作机制

我们知道session过期问题是web系统必须要处理的问题，刚开始做编程的时候对这块没有做深入的学习，而这几天在处理session时才发现问题多多，许多东西想当然的来写却行不通，下面我系统的阐述下session：
session是干什么的，session是可以存储针对与某一个用户的IE以及通过其当前窗口打开的任何窗口具有针对性的用户信息存储机制。
先研究session是如何启动的，当打开IE以后浏览网站后会发出一个指令请求SESSIONID以及对各个类型数据的下载许可，如图片，声音以及FLASH。
数据实际传输内容：IE到服务器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.jh521.com
Connection: Keep-Alive

服务器会返回一个没有被使用的SESSIONID让IE使用，当时IE就对返回SESSIONID做存储并同时返回相关页面的下载数据，如下:服务器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private

然后就是页面HTML代码，此时这个IE程序(不是客户机)的SESSIONID就为IBOMFONAOJFEEBHBPIENJFFC；

而当IE在访问任何服务端的程序的时候，就会把IBOMFONAOJFEEBHBPIENJFFC发送给服务器，服务器就会知道IBOMFONAOJFEEBHBPIENJFFC是表示你；

而在服务器上设置SESSION("name")="name"完全可以看成是SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者SESSION(SESSIONID)("name")="name"这样，SESSION就区分开用户了。

而当服务器反馈这个ID的时候会看这个ID有没有被使用。如果有在换一个反正不会让你重复，如果想模拟某人的SESSION的ID来进行欺骗是可以的。不过要获取到对方IE传输信号，并且在保证当时这个SESSIONID没有被取消的情况下才可能实施。

以上就是SESSION的工作机制。