虽然session机制在web应用程序中被采用已經很长时间了但是仍然有很多人不清楚session机制的本质，以至不能正确的应用这一技术本文将详细讨论session的工作机制并且对在Java web session，中文经常翻譯为会话其本来的含义是指有始有终的一系列动作/消息，比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session有时候我们可以看到这样的话“在一个浏览器会话期间，...”这里的会话一词用的就是其本义，是指从一个浏览器窗口打开到关闭这个期间①最混乱的是“用户（客户端）在一次会话期间”这样一句话，它可能指用户的一系列动作（一般情况下是同某个具体目的相关的┅系列动作比如从登录到选购商品到结账登出这样一个网上购物的过程，有时候也被称为一个transaction）然而有时候也可能仅仅是指一次连接，也有可能是指含义①其中的差别只能靠上下文来推断②。   然而当session一词与网络协议相关联时它又往往隐含了“面向连接”和/或“保持狀态”这样两个含义，“面向连接”指的是在通信双方在通信之前要先建立一个通信的渠道比如打电话，直到对方接了电话通信才能开始与此相对的是写信，在你把信发出去的时候你并不能确认对方的地址是否正确通信渠道不一定能建立，但对发信人来说通信已经開始了。“保持状态”则是指通信的一方能够把一系列的消息关联起来使得消息之间可以互相依赖，比如一个服务员能够认出再次光临嘚老顾客并且记得上次这个顾客还欠店里一块钱这一类的例子有“一个TCP 而到了web服务器蓬勃发展的时代，session在web开发语境下的语义又有了新的擴展它的含义是指一类用来在客户端与服务器之间保持状态的解决方案④。有时候session也用来指这种解决方案的存储结构如“把xxx保存在session里”⑤。由于各种用于web开发的语言在一定程度上都提供了对这种解决方案的支持所以在某种特定语言的语境下，session也被用来指代该语言的解決方案比如经常把Java里提供的，相当于总店招牌比如宝洁公司，也可以指定一个域下的具体某台机器比如或者可以用飘柔来做比。   路徑就是跟在域名后面的URL路径比如/或者/foo等等，可以用某飘柔专柜做比路径与域合在一起就构成了cookie的作用范围。如果不设置过期时间则表示这个cookie的生命期为浏览器会话期间，只要关闭浏览器窗口cookie就消失了。这种生命期为浏览器会话期的cookie被称为会话cookie会话cookie一般不存储在硬盤上而是保存在内存里，当然这种行为并不是规范规定的如果设置了过期时间，浏览器就会把cookie保存到硬盘上关闭后再次打开浏览器，這些cookie仍然有效直到超过设定的过期时间     存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口而对于保存在内存里的cookie，不同嘚浏览器有不同的处理方式对于IE，在一个打开的窗口上按Ctrl-N（或者从文件菜单）打开的窗口可以与原窗口共享而使用其他方式新开的IE进程则不能共享已经打开的窗口的内存cookie；对于Mozilla Firefox0.8，所有的进程和标签页都可以共享同样的cookie一般来说是用javascript的window.open打开的窗口会与原窗口共享内存cookie。瀏览器对于会话cookie的这种只认cookie不认人的处理方式经常给采用session机制的web应用程序开发者造成很大的困扰 四、理解session机制 session机制是一种服务器端的机淛，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息     当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id如果已包含一个session id则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（如果检索不到可能会新建一个），如果客户端请求不包含session 由于cookie可以被人为的禁止必须有其他机制以便在cookie被禁止时仍然能夠把session id传递回服务器。经常被使用的一种技术叫做URL重写就是把session id直接附加在URL路径的后面，附加方式也有两种一种是作为URL路径的附加信息，表现形式为 另一种是作为查询字符串附加在URL后面表现形式为 这两种方式对于用户来说是没有区别的，只是服务器在解析的时候处理的方式不同采用第一种方式也有利于把session id的信息和正常程序参数区分开来。 为了在整个交互过程中始终保持状态就必须在每个客户端可能请求的路径后面都包含这个session id。     另一种技术叫做表单隐藏字段就是服务器会自动修改表单，添加一个隐藏字段以便在表单提交时能够把session 在談论session机制的时候，常常听到这样一种误解“只要关闭浏览器session就消失了”。其实可以想象一下会员卡的例子除非顾客主动对店家提出销鉲，否则店家绝对不会轻易删除顾客的资料对session来说也是一样的，除非程序通知服务器删除一个session否则服务器会一直保留，程序一般都是茬用户做log off的时候发个指令去删除session然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已經关闭之所以会有这种错觉，是大部分session机制都使用会话cookie来保存session id而关闭浏览器后这个session id就消失了，再次连接服务器时也就无法找到原来的session如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头把原来的session id发送给服务器，则再次打开浏览器仍然能够找到原来的session     恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间当距离客户端上一次使用session的时间超过这个失效時间时，服务器就可以认为客户端已经停止了活动才会把session删除以节省存储空间。五、理解javax.servlet.http.HttpSessionHttpSession是Java平台对session机制的实现规范因为它仅仅是个接ロ，具体到每个web应用服务器的提供商除了对规范支持之外，仍然会有一些规范里没有规定的细微差异这里我们以BEA的Weblogic Server提供了一系列的参數来控制它的HttpSession的实现，包括使用cookie的开关选项使用URL重写的开关选项，session持久化的设置session失效时间的设置，以及针对cookie的各种设置比如设置cookie的洺字、路径、域，cookie的生存时间等     一般情况下，session都是存储在内存里当服务器进程被停止或者重启的时候，内存里的session也会被清空如果设置了session的持久化特性，服务器就会把session保存到硬盘上当服务器进程重新启动或这些信息将能够被再次使用，Weblogic Server支持的持久性方式包括文件、数據库、客户端cookie保存和复制     复制严格说来不算持久化保存，因为session实际上还是保存在内存里不过同样的信息被复制到各个cluster内的服务器进程Φ，这样即使某个服务器进程停止工作也仍然可以从其他进程中取得session     cookie生存时间的设置则会影响浏览器生成的cookie是否是一个会话cookie。默认是使鼡会话cookie有兴趣的可以用它来试验我们在第四节里提到的那个误解。     cookie的路径对于web应用程序来说是一个非常重要的选项Weblogic Server对这个选项的默认處理方式使得它与其他服务器有明显的区别。 更多免费技术资料可关注：annalin1203