应用服务器集群的session管理：这是我在一本网站技术架构分析的书上看到的。这一章主要写在高可用架构设计之下服务无状态这一特性下怎么管理会话（session）。以下是几例解决方案（示例图为转载图片）：

1.session复制

session复制是早期企业应用系统使用比较多的一种服务器集群Session管理机制。应用服务器开启Web容器的的Session复制功能，在集群中的几台服务器之间同步Session对象，是的每台服务器上都保存所有用户的Session信息，这样任何一台机器宕机都不会导致Session数据的丢失，而服务器使用Session时候，也只需要在本机获取即可。如图：

缺点： 只能使用在集群规模比较小的情况下（本人目前也没参与过大集群项目开发），当集群规模比较大的时候，集群服务器之间需要大量的通信进行Session的复制，占用服务器和网络的大量资源，系统负担较大。而且由于用户的session信息在每台服务器上都有备份，在大量用户访问下，可能会出现服务器内存都还不够session使用的情况。

2.session绑定

session绑定可以利用负载均衡的原地址Hash算法实现，负载均衡服务器总是将来源于同一IP的请求分发到同一台服务器上，也可以根据cookie信息将同一个用户的请求每次都分发到同一台服务器上，不过这时的负载均衡服务器必须工作在HTTP协议层上。这样在整个会话期间，用户的所有请求都在同一台服务器上处理，就是把session绑定在某台特定的服务器，保证了session总能在一台服务器上回去。这种方法又被称为会话黏滞。

缺点： 该session绑定的方案不符合我们队系统高可用的需求。因为该情况下，一旦某台服务器宕机，则该服务器上的所有session信息就会不存在，用户请求切换到其他服务器后因为没有session信息而无法完成相关业务。所以这种方法用的比较少

3.利用cookie记录session

早期的一些企业应用架构就是C/S(客户端/服务器)架构，管理session 的方法就是讲session记录在客户端，每次请求服务器的时候讲session放在请求中发送给服务器，服务器处理过请求后再将修改过的session返回给客户端。网站虽然没有客户端，但是可以利用浏览器支持的cookie记录session。
当然，有人会说如果客户端禁用掉cookie怎么办。我另一篇文章写过这个相关的简单的解决办法。
客户端禁用Cookie后如何使用Session

缺点： 该方法受cookie大小限制，记录的信息有限。每次请求都需要传输cookie，影响性能。
但是，由于cookie简单易用，支持服务器的线性伸缩，而且大部分的session信息都比较小，所以其实很多网站或多或少的都会使用cookie来记录session。

4.session服务器

session服务器就是利用独立部署的session服务器（集群）统一管理session，应用服务器每次读写session时候，都去访问session服务器。

该方案实际上就是将应用服务器的状态分离，分为无状态的应用服务器和有状态的session服务器。
对于有状态的session服务器：

一种比较简单的方法就是利用分布式缓存，数据库等，在这些产品的基础上进行包装，使其符合session的存储和访问要求。

另一种就是业务场景对session管理有比较高的要求的时候，可以利用session服务器集成单点登录（SSO），用户服务等功能，
这就需要开发专门的session服务管理平台。

本文是在项目中遇到session相关问题的时候，刚好手头的一本书上有相关解决方法。有其他好的解决方法望留言指点。

一、Session工作模式

(1)Session是什么

服务器在内存中(服务器端)为不同的客户端创建了用于保存数据的Session对象。并将用于标识该对象的唯一SessionId发回给与该对象对应的客户端。
当浏览器再次发送请求时，SessionId也会被发送过去。服务器凭借这个唯一的SessionId找到与之对应的Session对象。
在服务器维护的这些用于保存于不同客户端交互时的数据的对象叫做Session。

(2)Session特点

• session是用于存储一次会话的多次请求的数据，存在服务器端。
• session可以存储任意类型，任意大小的数据。

二、Session应用

(1)Session操作

获得Session

HttpSession s =request.getSession(boolean flag);//flaga为--> true:没有sid,创建session，false：没有,返回null
HttpSession s = request.getSession();//默认为true

使用session绑定对象

void session.setAttribute(String name,Object obj);

获取绑定数据或移除绑定数据

void session.getAttribute(String name);
void session.removeAttribute(String name);

删除session对象

void invalidate();

(2)使用session计数Demo

package session;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
 * 记录用户访问的次数
 * 
 * @author QianliangGuo
 */
public class countservlet extends HttpServlet {

	@Override
	protected void service(HttpServletRequest request,HttpServletResponse response) throws ServletException, IOException {
		response.setContentType("text/html;charset=utf-8");
		PrintWriter out = response.getWriter();
		// 获取session对象
		HttpSession session = request.getSession();
		// 输出sessionId
		System.out.println(session.getId());
		// 获取绑定的计数器
		Integer count = (Integer) session.getAttribute("count");
		if (count == null) {
			// 第一次访问
			count = 1;
		} else {
			// 不是第一次访问
			count++;
		}
		// 同步计数到session中
		session.setAttribute("count", count);
		//输出提示信息
		out.println("This is the "+count+" visit ");
		out.close();
	}
}

执行效果：

这说明，浏览器没有关闭时，Sessionid已经存在了，服务器端创建好了session并为其分配id，然后传给浏览器。当浏览器再次向服务器发送时，这个id就会再次被携带到服务器端。服务器端如果有这个id就会将其返回给浏览器，如果没有就新建一个sessionid再返回给浏览器。

(3)Session实现网页登录/退出Demo

有时候在一些视频网站，一些视频看着看着就会让重新登录。如果没有登录，下面的内容不让看，或者注册以后才能访问某一个网站。这是为了保护某些资源，在登录验证之后才能访问。

登录信息提交后，后台就开始验证，如果验证通过，就将用户信息保存在Session中，验证失败则返回登录页面，重新登录。

对于需要保护的资源，添加从session中获取绑定值的功能，来判断是否能够成功获取绑定的用户信息为判断依据，获取到则代表已验证，允许访问。获取不到绑定在session中的用户信息，则验证不通过，重定向到登录页面。

login.jsp(登录页面)

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
	Object msg = request.getAttribute("msg");
	if(msg!=null){
 %>
 <%=msg.toString() %>
 <%} %>
<html>
  <head>
  
  </head>
  
  <body>
   	<form action="login.do" method="post">
   		用户名:<input name="uname"/></br>
   		密码:<input name = "pwd" type="password"/> </br>
   		<input type="submit" value="登录"/>  	
   	</form>
   </body>
</html>

index.jsp(受保护的资源)

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
	//小脚本:session验证
	Object uname = session.getAttribute("uname");
	if(uname == null){
		//重定向到login.jsp
		response.sendRedirect("login.jsp");
		return;
	}
 %>
 
<html>
  <head>
 
  </head>
  
  <body>
    <h1>欢迎登录:<%=uname.toString() %></h1>
    <a href="logout.do">退出</a>
  </body>
</html>

ActionSession.java(后台验证)

package session;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class ActionServlet extends HttpServlet {

	@Override
	protected void service(HttpServletRequest request,HttpServletResponse response) throws ServletException, IOException {
		// 设置编码
		request.setCharacterEncoding("utf-8");
		// 获得session
		HttpSession session = request.getSession();
		//设置session超时时间为10秒
//		session.setMaxInactiveInterval(10);
		// 获得请求路径
		String uri = request.getRequestURI();
		// 拆分路径,只保留login.do中的login
		String action = uri.substring(uri.lastIndexOf("/") + 1,uri.lastIndexOf("."));
		// 判断请求路径是否为登录
		if (action.equals("login")) {
			String uname = request.getParameter("uname");
			String pwd = request.getParameter("pwd");
			if (uname.equals("123") && pwd.equals("123")) {
				// 将登录的用户绑定到session
				session.setAttribute("uname", uname);
				// 重定向到index.jsp
//				response.sendRedirect("index.jsp");
				//如果禁用了Cookie,使用URL重写
				response.sendRedirect(response.encodeRedirectURL("index.jsp"));
				
			} else {
				// 登录失败,就转发到login.jsp
				request.setAttribute("msg", "用户名或密码有误");
				request.getRequestDispatcher("login.jsp").forward(request,response);
			}
		}else if(action.equals("logout")){
			//使session失效
			session.invalidate();
			response.sendRedirect("login.jsp");
		}
	}
}

效果演示：

登录失败，重定向回登录页面：

输入与后台匹配的账号密码：

登录成功：

点击退出：

三、URL重写

Session依赖Cookie，因为SessionId保存在客户端是以Cookie的形式保存的。浏览器金永刚Cookie，Session对象将不能使用，但可以通过URL重写，完成SID的保存。

什么是URL重写

浏览器在访问服务器的某个地址时，会使用一个改写过的地址，即在原有地址后追缴SessionID，这种重新定义URL内容的方式叫做URL重写。

在上面的Session实现网页登录/退出Demo中已经使用了URL重写，语句如下：

response.sendRedirect(response.encodeRedirectURL("xxx.jsp"));

四、Session生命周期

Session对象存在于内存中时会有默认的时间限制，超过缺省时间，session就会失效且不能继续访问。
Web服务器缺省的超时时间设置一般是30分钟。

修改Session的缺省时间限制

编程式针对该方法的session对象

在上面的Session实现网页登录/退出Demo已经设置了超时时间，语句如下：

session.setMaxInactiveInterval(int seconds);

声明式设置所有session对象
在tomcat的conf目录下，寻找web.xml文件修改为30分钟。

<session-config>
	<session-timeout>30</session-timeout>
</session-config>

五、session优缺点

优点：
1.安全(将状态保存在服务器端)
2.Session能够保存的数据类型更丰富，Cookie只能保存字符串。
3.Session能保存更多的数据，Cookie大约保存4K。

缺点：
1.Session将状态保存在服务器端，占用服务器的内存，如果用户量过大，会严重影响服务器的性能。

除非重启jsp服务器

我怎么觉得很多网站，关闭浏览器重新打开后，就要重新输入用户密码了

当你第一次访问一个网站的时候,网站服务器会在响应头内加上Set-Cookie:PHPSESSID=nj1tvkclp3jh83olcn3191sjq3(php服务器),或Set-Cookie JSESSIONID=nj1tvkclp3jh83olcn3191sjq3(java服务器)信息,此信息是服务器随机生成的,放在服务器内存里,为了标识唯一的客户端用户,内容不会重复,这就是sessionid.
   当浏览器得到这个sessionid会将它放在自己的进程内存里,这里不同的浏览器会有所不同,IE进程间不能共享这个sessionid,也就是新开一个IE将不能共享这个sessionid;而Firefox进程间可以共享.然后你继续发请求给这个网站的时候,浏览器就会把这个sessionid放在请求头里发送给该服务器了,这样服务器得到sessionid后再和自己内存里存放的sessionid对比锁定客户端,从而区分不同客户端,完成会话.
   可以看出如果用这种方式,当用户在会话的过程中关闭浏览器结束进程,则这个sessionid将消失,如果用户又打开浏览器想继续这次会话的时候,就会因为发送的请求中没有这个sessionid而使服务器无法辨别该把那个session信息给他,注意(这个时候服务器端的sessionid和sessionid所指向的session都还存在,只是没有正确的sessionid和它匹配而占用服务器内存,只有session过期或服务器重启才释放内存).
   上面这种方式叫会话cookie,把cookie放在浏览器内存里,只能在这个浏览器的内存范围里完成会话,是一种不长久的方式,为了能长久会话,就出现了持久化cookie,把cookie固化在用户的计算机上,现在的cookie不单单能存放sessionid,还能放用户信息,样式表信息等.
   如果用户禁止了所有cookie的使用,那么会话cookie和持久化cookie都不能用了,有个方案也可以解决问题,就是URL重写,这里要说下的就是URL重写只能实现会话cookie的效果,持久会话实现不了. 

原来是这样，怪不得有些网站关闭浏览器就要重新登录了

http://bbs.csdn.net/topics/390796397 这个帖子也讨论了关于session的问题 ，我不太明白 

怎么让用户一直操作的情况下，定时的让session失效，达到重新验证用户的效果。依靠数据库吗？

楼主说了服务器端，二楼说了客户端，都不错。

对于服务器端，session可以几种实现，可以放在内存里，可以存在文件里，甚至可以存在数据库里（这样session就可以永久保持不担心丢失）。对于客户端，session一般通过cookie保持，这样就能实现自动登录。

我这里关于服务器重启会不会导致session失效有一些不一样的看法，在停止服务器是，session会序列化，发生钝化现象，进而存储在硬盘上，而当服务器重启时，又会把session加载进内存中，从而活化。因此在服务器停止，重启时，若你的浏览器未关，你仍然在登录状态