http session 基础知识

因为Http的无接连，无状态，所以造就了Cookie，Session的诞生。

　　Session也是类似Cookie一样的功能，用于记录客户端浏览器与服务器端交互的会话状态。它与Cookie的重要区别是：
　　1.Cookie是记录在客户端浏览器本地；（它是不可靠的，客户端浏览器可以不允许服务器记录，还可以删除。）
　　2.Session是记录在服务器端的

　　那么Session是如何记录的？
　　当用浏览器访问服务器的一个请求时，如果要用到Session，服务器会为浏览器窗口开辟一块独一无二的session内存，当其它浏览器窗口再次访问服务器也想用Session时，服务器会为新的浏览器或窗口开辟一块的新的内存。


 
 　　那有个问题，比如当我第一个页面登陆以后，跳到第二个页面，服务器怎么就知道我是哪个浏览器，怎么知道我属于哪块Session内存呢？而是非常准确地定位到我第一次登陆时创建的那个Sesion，不是其它Session呢？其实这里有一个常用的方法解决这个问题，那就是标记——浏览器第一次来创建Session时，服务器创建一个独一无二的号码标记，标识这个浏览器窗口和这块Session内存是一对一的关系，并将这个标识存储在浏览器窗口中，同时也存储在对应的Session中，当浏览器窗口下次再来的时候把这个标识带过来，服务器就知道根据那个标识去定位Sesssion块了，这个标识就是sessionId，每个浏览器窗口都有一个独一无二的编号SessionId。

　　那么就有个问题，SessionId存储在什么地方？假设Session已经存在，当浏览器访问过来，它应该要把SessionId带过来，因为只有这样，服务器才知道根据这个SessionId去定位内存中的哪个Session。所以这样一来，就有了两种创建Session的方式：
　　1.通过Cookie，将SessionId存储在Cookie中
　　2.通过URL重写，将SessionId作为参数传递

 　　先说第一种，存储在Cookie中有两种方法，即浏览器内存和本地文件。哪种存法比较好呢，显然是内存中，因为服务器端Session内存与浏览器窗口一一对应，浏览器窗口存在，SessionId就存在，浏览器窗口关闭了，SessionId留着就没意义了，新开一个浏览器窗口，SessionId就变了。因此通过Cookie创建Session是将SessionId存储在浏览器内存的Cookie中。这样浏览器每次访问服务器，服务器就可以取到SessionId了。

　　那浏览器可以禁止服务器写入Cookie，当浏览器Cookie被禁止了以后，服务器根本无法写入SessionId，那Session就创建不了，也就用不了啦。所以就有了第二种方法：URL重写。
　　第二种方法URL重写实现Session：
　　response.encodeURL(String url);
　　这个方法有两个作用：
　　1.转码，当有中文时可以用它来编码，防止乱码。
　　2.给URL后面加上SessionId

　　测试时，我们可以将浏览器Cookie关闭，并将跳转到Session的URL地址用encodeURL()包起来。这时再访问就会发现，地址栏请求的URL后跟有参数jessionid。

 
　　其实这种方式并不常用，如果要将一个网站的每个要访问Session的URL都这样包起来挺费劲的。只有少数大公司，写代码比较规范，严谨的公司才这么干，大部分公司都不会这么写，因为他们认为，你就应该开启Cookie，如果不开，那么你就用了Session，也就用不了他们服务，产品，像新浪，搜狐这样的大公司都这样。其实我们平时在公司做项目也从来不这样写，但那是因为我们不知道这个原理，至少我是到现在才知道的。