Session是服务器为每个访问这个服务器的客户端用户创建的一个容器。这个容器中存储的数据能够在多个request之间实现共享。而且，这个容器只属于当前这个用户。
 Session是怎么标识每一个用户的
 表面上，我们说Session容器是属于某一个用户。其实在会话过程中，只有客户端(浏览器)和服务器两个角色。所以，Session容器标识的不是用户，而是当前用户正在使用的浏览器。浏览器与服务器交流是通过给服务器发送请求实现的，浏览器的每次请求中如果都有一个相同的标记用来标记session。服务器就能够识别这个用户了。
 
这个标记叫做JSESSIONID。我们重新演示，cookie的setPath练习，发现服务器启动后，浏览器的每次请求都会携带一个name属性值为"JSESSIONID"的cookie，这个cookie的值在每次请求过程中都是相同的。
 
Session的作用
 为每个访问服务器的用户创建一个存储数据的容器；
 容器中的数据在多个请求之间共享；
 
获得Session对象API
 Session容器的创建，调用的方法是：request.getSession()。
 
//获取Session容器对象（创建session对象）
   HttpSession session = request.getSession();
   System.out.println(session);
 
session常用API
 实践：
 需求：
 
在第一个Servlet中往Servlet中存储数据；
在另外两个Servlet中获取session和session中存储的值，分别打印session和值；
 
//往session中设置值
@WebServlet("/sessionone")
public class SessionOneServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request, response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //在session中存储值
        //获取session
        HttpSession session = request.getSession();
        //储存值
        session.setAttribute("session","sessionvlaue");
    }
}
 
//从session中取值
@WebServlet("/sessontwo")
public class SessionTwoServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request, response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //获取session中存储的值
        //获取session
        HttpSession session = request.getSession();
        String session1 = (String) session.getAttribute("session");
        System.out.println("session1 = " + session1);
    }
}
 
Session的生命周期
 当客户端浏览器第一次访问服务器时，服务器默认为每个浏览器创建不同的HttpSession对象。我们可以使用request.getSession()方法来获得HttpSession对象。
 
当第一次执行 request.getSession()时，有session对象就返回创建的session，没有session就创建session对象。后续的request.getSession()只能获取已创建的session。
 
Session销毁
 方式一：时间超出了session的存活时间
 session的默认存活时间是30分钟，在tomcat的全局配置文件web.xml中。(路径：tomcat/config/web.xml)
 我们可以在web.xml中自己设置这个存活时间。我们设置的这个时间会覆盖原来的存活时间。
 
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
		  http://java.sun.com/xml/ns/javaee/web-app_3_1.xsd"
           version="3.1">
    <!--将session的存活时间设置成1-->
    <session-config>
        <session-timeout>1</session-timeout>
    </session-config>
</web-app>
 
//获取session
        HttpSession session = request.getSession();
        //打印session和sessionId
        System.out.println("session="+session+";sessionId="+session.getId());
 
注意： Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服务器一次，无论是否读写Session，服务器都认为该用户的Session"活跃（active）"了一次。
 
方式二：在Servlet中手动销毁
 手动销毁session，调用的方法是：session.invalidate()方法；
 
 //可以删除session
        HttpSession session = request.getSession();//可以获取session
        System.out.println(session.getId());

        session.invalidate();//session被销毁了
 
浏览器关闭后，session持久化方案
 通过上面的例子我们发现，浏览器关闭后，JSESSIONID就消失了，再次访问的时候又重新创建了一个新的session对象。这样，是比较消耗资源的。
 session之所以重新创建是因为，浏览器关闭后JESSIONID这个cookie消失了。所以，就不能够在标识这个session了。如果能够让cookie不消失（或者存活时间长点）就能够在很长一段时间内把这个标识发送给Servlet了。此时Servlet就能够找到之前创建的session对象了。
 【实现方案】
 在servlet中手动创建JESSIONID；
 手动设置JESSIONID的存活时间；
 将JESSIONID响应给浏览器；
 
@WebServlet("/chi")
public class ChiServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request, response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //实现持久化session
        HttpSession session = request.getSession();
        //获取sessionid
        String id = session.getId();

        Cookie cookie = new Cookie("JSESSIONID",id);
        //是cookie持久化
        cookie.setMaxAge(60*30);

        //响应回浏览器
        response.addCookie(cookie);
    }
}
 
Servlet作用域总结
 
ServletContext域：
 一个WEB应用（项目）对应一个ServletContext，这个对象中保存的数据正在整个WEB项目中都有效； 
  
创建：服务器启动的时候；
销毁：服务器关闭或项目移除后；
 
HttpSession：
 一次会话给客户端（浏览器）创建一个session。这个对象中保存的数据，一次会话（多次请求）内数据有效； 
  
创建：服务器第一次调用getSession()的时候；
销毁： 
    
服务器非正常关闭（正常关闭：Session被序列化）；
Session过期了：默认存活时间30分钟；
手动调用session的invalidate()方法；
 
 
HttpServletRequest：
 一次请求创建一个request。这个对象中保存的数据，一次请求（请求链）内数据有效； 
  
创建：客户端向服务器发送一次请求；
销毁：服务器为这次请求做出响应之后，销毁request；
 
 
【API操作】操作三个作用域对象的API
 
存储数据：setAttribute(name,value);
获得数据：getAttribute(name);
删除数据：removeAttribute(name)；

 3.Session是依赖与Cookie的
 
 
 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
开发工具与关键技术：Java，HTTP协议，session原理
 
撰写时间：2019-06-17
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
以下这些大多都是文字表达，没有一一写实际的案例出来演示，但是详细的看一下的话，也就知道什么意思了，文中表达比较通俗。
 
Web三大概念：cookie，session，application
 
Session：记录一系列状态
 
Session与cookie功能效果相同。Session与Cookie的区别在于Session是记录在服务端的，而Cookie是记录在客户端的。
 
解释session：当访问服务器否个网页的时候，会在服务器端的内存里开辟一块内存，这块内存就叫做session，而这个内存是跟浏览器关联在一起的。这个浏览器指的是浏览器窗口，或者是浏览器的子窗口，意思就是，只允许当前这个session对应的浏览器访问，就算是在同一个机器上新启的浏览器也是无法访问的。而另外一个浏览器也需要记录session的话，就会再启一个属于自己的session
 
原理：HTTP协议是非连接性的，取完当前浏览器的内容，然后关闭浏览器后，链接就断开了，而没有任何机制去记录取出后的信息。而当需要访问同一个网站的另外一个页面时(就好比如在第一个页面选择购买的商品后，跳转到第二个页面去进行付款)这个时候取出来的信息，就读不出来了。所以必须要有一种机制让页面知道原理页面的session内容。
 
问题：如何知道浏览器和这个服务器中的session是一一对应的呢？又如何保证不会去访问其它的session呢？
 
原理解答：就是当访问一个页面的时候给浏览器创建一个独一无二的号码，也给同时创建的session赋予同样的号码。这样就可以在打开同一个网站的第二个页面时获取到第一个页面中session保留下来的对应信息（理解：当访问第二个页面时将号码同时传递到第二个页面。找到对应的session。）。这个号码也叫sessionID，session的ID号码，session的独一无二号码。
 
session的两种实现方式（也就是传递方式）：第一种通过cookies实现。第二种通过URL重写来实现
 
第一种方式的理解：就是把session的id 放在cookie里面（为什么是使用cookies存放呢，因为cookie有临时的，也有定时的，临时的就是当前浏览器什么时候关掉即消失，也就是说session本来就是当浏览器关闭即消失的，所以可以用临时的cookie存放。保存再cookie里的sessionID一定不会重复，因为是独一无二的。），当允许浏览器使用cookie的时候，session就会依赖于cookies，当浏览器不支持cookie后，就可以通过第二种方式获取session内存中的数据资源。
 
第二种方式的理解：在客户端不支持cookie的情况下使用。为了以防万一，也可以同时使用。
 
如果不支持cookie，必须自己编程使用URL重写的方式实现。
 
   如何重写URL：通过response.encodeURL()方法
 
      encodeURL()的两个作用
 
         第一个作用：转码（说明：转中文的编码，或者一些其他特殊的编码。就好比如网页的链接中存在中文字符，就会转换成为一些百分号或者其他的符号代替。）
 
第二个作用：URL后面加入sessionID，当不支持cookie的时候，可以使用encodeURL()方法，encodeUTL()后面跟上sessionID，这样的话，在禁用cookie的浏览器中同时也可以使用session了。但是需要自己编程，只要链接支持，想用session就必须加上encodeURL()。
 
提示：若想程序中永远支持session，那就必须加上encodeURL()，当别人禁用了cookie，一样可以使用session。
 
简单的代码例子：在没有使用encodeURL()方法前的代码
 
 
在使用encodeURL()方法后的代码
 
 
看下图，当重写URL 的时候，每一次访问的时候都会将sessionID传过来，传过来了，就没有必要再在cookie里读了。
 
 
规则：
 
如果浏览器支持cookie，创建session多大的时候，会被sessionID保存再cookie里。只要允许cookie，session就不会改变，如果不允许使用cookie，每刷新一次浏览器就会换一个session（因为浏览器以为这是一个新的链接）
如果不支持cookie，必须自己编程使用URL重写的方式实现session
Session不像cookie一样拥有路径访问的问题，同一个application下的servlet/jsp都可以共享同一个session，前提下是同一个客户端窗口。
Session中的一些常用方法说明
 
isNew()：是否是新的Session，一般在第一次访问的时候出现
 
getid()：拿到session，获取ID
 
getCreationTime()：当前session创建的时间
 
getLastAccessedTime()：最近的一次访问这个session的时间。
 
getRrquestedSessionid： 跟随上个网页cookies或者URL传过来的session
 
isRequestedSessionIdFromCookie()：是否通过Cookies传过来的
 
isRequestedSessionIdFromURL()：是否通过重写URL传过来的
 
isRequestedSessionIdValid()：是不是有效的sessionID
 
其中下面的结果图对应上面的8个方法
 
  
 
 
 
其对应的代码
 
 
session有期限：
 
当一个网站的第一个窗口关掉了，而没有继续接着访问第二个页面，就没有使用到session。那么session会在中断程序后立刻关闭session吗？这个时候session就需要给它保留的时间，当最近一次访问的时候开始计时，每刷新一次重写开始计时。当隔了这么久的时间，没有访问这个session后，对不起，要关闭这个session了。session有过期时间，session什么时候过期，要看配置，
 
session能干什么：
 
session就是服务器里面的一块内存，内存里面能放任何东西，只要是名值对就可以了。
 
session里面的名字永远都是String类型
 
 

 
 
点个赞，看一看，好习惯！本文 GitHub https://github.com/OUYANGSIHAI/JavaInterview 已收录，这是我花了3个月总结的一线大厂Java面试总结，本人已拿腾讯等大厂offer。
 另外，原创文章首发在我的个人博客：blog.ouyangsihai.cn，欢迎访问。
 
 
一、写在前面
 
最近在做一个项目的时候，本来是想通过session来存一些数据的，但是，发现当两次访问的方法不同时，后台的session是不一样的，也就是说sessionId，不一致，所以导致的问题就是：当我需要从session取值的时候，总是出现取不到值的情况，后面也想过用redis，但是也被坑了。
 
后来，想到就是通过和前端沟通，通过sessionId和前端进行交互，来保证每一次的session是一致的，所以就想到了下面的方法。
 
二、以前解决方法
 
根据sessionID有一个比较简单的方法，使用session上下文即可
 
HttpSession sess = session.getSessionContext().getSession(sid)  
 
不过很可惜，java之后处于安全性考虑，不建议使用这个方法，虽然我不知道为什么对安全性会有影响，但是既然java不建议用了。下面来分享一个方法，使用session监听器配合一个静态的hashmap即可实现。
 
三、新的解决方法
 
首先，创建自己的sessionContext
 
 public class MySessionContext {  
        private static MySessionContext instance;  
        private HashMap<String,HttpSession> sessionMap;  
      
        private MySessionContext() {  
            sessionMap = new HashMap<String,HttpSession>();  
        }  
      
        public static MySessionContext getInstance() {  
            if (instance == null) {  
                instance = new MySessionContext();  
            }  
            return instance;  
        }  
      
        public synchronized void addSession(HttpSession session) {  
            if (session != null) {  
                sessionMap.put(session.getId(), session);  
            }  
        }  
      
        public synchronized void delSession(HttpSession session) {  
            if (session != null) {  
                sessionMap.remove(session.getId());  
            }  
        }  
      
        public synchronized HttpSession getSession(String sessionID) {  
            if (sessionID == null) {  
                return null;  
            }  
            return sessionMap.get(sessionID);  
        }  
      
    }  
 
然后建立session监听，要实现HttpSessionListener接口
 
  public class SessionListener implements HttpSessionListener {  
          
        private MySessionContext myc = MySessionContext.getInstance();  
          
        public void sessionCreated(HttpSessionEvent httpSessionEvent) {  
            HttpSession session = httpSessionEvent.getSession();  
            myc.addSession(session);  
        }  
      
        public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {  
            HttpSession session = httpSessionEvent.getSession();  
            myc.delSession(session);  
        }  
      
    }  
 
接着，在web.xml中配置session监听器
 
   <listener>  
        <listener-class>com.chinapost.manager.utils.SessionListener</listener-class>  
    </listener>  
 
注意：这个SessionListener是监听器的路径
 
完事，大功告成，之后在代码中直接获取就OK了
 
    MySessionContext myc= MySessionContext.getInstance();  
    HttpSession sess = myc.getSession(sessionId);  
 
好了，这样就完美的解决了问题了
 
最后，再分享我历时三个月总结的 Java 面试 + Java 后端技术学习指南，这是本人这几年及春招的总结，已经拿到了大厂offer，整理成了一本电子书，拿去不谢，目录如下：
 
 
现在免费分享大家，在下面我的公众号 程序员的技术圈子 回复 面试 即可获取。
 
 
有收获？希望老铁们来个三连击，给更多的人看到这篇文章
 
1、老铁们，关注我的原创微信公众号「程序员的技术圈子」，专注于Java、数据结构和算法、微服务、中间件等技术分享，保证你看完有所收获。
 
2、给俺点个赞呗，可以让更多的人看到这篇文章，顺便激励下我继续写作，嘻嘻。
 
3、另外，原创文章首发在我的个人博客：blog.ouyangsihai.cn，欢迎访问。
 
点赞是对我最大的鼓励
 ↓↓↓↓↓↓