Session机制：

• session机制采用的是在服务器端保持HTTP状态信息的方案
• 如果需要创建session时，首先去在这个请求搜索session，如果有，不会去创建session，如果没有会去创建一个session

保存session id的几种方式：

• 保存session id的方式可以采用cookie
• 由于cookie可能被人为的禁用，为了在cookie被禁用时依然能够把session id传递回服务器，经常采用的一种技术叫做URL重写，就是把session id附加在      URL路径的后面（有两种附加方式1.URL路径的附加信息，2.查询字符串附加在URL后面）

 

Session Cookie:

　　session用过SessionID来区分不同的用户，session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，这称之为session cookie，以区别pesistent cookies(cookie),session cookie是存储于浏览器内存中的，并不是写到硬盘上。

 

HttpSession的生命周期：

1.什么时候创建HttpSession对象

　　①是否浏览器访问服务端的任何一个JSP，服务器都会立即创建一个HttpSession对象呢？不一定。

　　1.对于JSP：

　　　　1)若当前的JSP是客户端访问的当前WEB应用的第一个资源，且JSP的page指定的session属性值为false，则服务器就不会为JSP创建一个HttpSession对象。

　　　　2)若当前JSP不是客户端访问的当前WEB应用的第一个资源，且其他页面已经创建一个HttpSession对象，而不会创建一个新的HttpSession对象

　　2.对于Servlet：若Servlet是客户端访问的第一个WEB应用的资源，则只调用了request.getSession()或request.getSession(true)才会创建HttpSession对象

　

   　②page指令的session="false" 到底是什么意思？

　　　　> 当前JSP页面禁用session隐含变量，但可以使用其他的显式的HttpSession对象

 

　　（3）在sevlet中如何获取HttpSession对象？

　　　　> request.getSession(boolean create):

　　　　create为false，若没有和当前JSP页面关联的HttpSession对象，则返回null；若有，则返回true

　　　　create为true，一定返回一个HttpSession对象。若没有和当前JSP页面关联的HttpSession对象，则服务器创建一个新的HttpSession对象返回，若有，直接返回关联的。

　　       request.getSession()等同于request.getSession(true)

 

2.什么时候销毁HttpSession对象

(1).直接调用HttpSession的invalidate()方法：该方法使HttpSession失效

(2).服务器卸载了当前WEB应用。

(3).超过HttpSession的过期时间

session.getMaxInactiveInterval();获取过期时间默认1800s

　　　　》设置HttpSession的过期时间：session.setMaxInactiveInerval(5);单位为秒

　　　　》在web.xml文件中设置HttpSession的过期时间：单位为分钟

　　　　<session-config>

　　　　　　<session-timeout>30</session-timeout>

　　　　</session-config>

(4).并不是关闭浏览器就销毁了session对象