HTTP无状态协议和session原理（access_token原理）

无状态协议是指协议对务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。 Http协议不像建立了socket连接的两个终端，双方是可以互相通信的，http的客户端只能通过请求服务器来获取相关内容或文件信息，具体内容可以通过我的另一篇文章了解。

http协议这种特性有优点也有缺点，优点在于解放了服务器，每一次请求“点到为止”不会造成不必要连接占用，缺点在于每次请求会传输大量重复的内容信息。

客户端与服务器进行动态交互的Web应用程序出现之后，HTTP无状态的特性严重阻碍了这些应用程序的实现，毕竟交互是需要承前启后的，简单的购物车程序也要知道用户到底在之前选择了什么商品。于是，两种用于保持HTTP连接状态的技术就应运而生了，一个是Cookie，而另一个则是Session。HTTP本身是一个无状态的连接协议，为了支持客户端与服务器之间的交互，我们就需要通过不同的技术为交互存储状态，而这些不同的技术就是Cookie和Session了。

先来说说Cookie：

Cookie的产生

Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。

Cookie是由服务器端生成，发送给User-Agent（一般是web浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用Cookie）。Cookie名称和值可以由服务器端开发自己定义，对于JSP而言也可以直接写入Sessionid，这样服务器可以知道该用户是否合法用户以及是否需要重新登录等。

Cookie用途

Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。

Cookie生存周期

Cookie可以保持登录信息到用户下次与服务器的会话，换句话说，下次访问同一网站时，用户会发现不必输入用户名和密码就已经登录了（当然，不排除用户手工删除Cookie）。而还有一些Cookie在用户退出会话的时候就被删除了，这样可以有效保护个人隐私。

Cookie在生成时就会被指定一个Expire值，这就是Cookie的生存周期，在这个周期内Cookie有效，超出周期Cookie就会被清除。有些页面将Cookie的生存周期设置为“0”或负值，这样在关闭页面时，就马上清除Cookie，不会记录用户信息，更加安全。

Session:在计算机中，尤其是在网络应用中，称为“会话”。

Session简介

Session直接翻译成中文比较困难，一般都译成时域。在计算机专业术语中，Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入系统到注销退出系统之间所经过的时间以及如果需要的话，可能还有一定的操作空间。

具体到Web中的Session指的就是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。

需要注意的是，一个Session的概念需要包括特定的客户端，特定的服务器端以及不中断的操作时间。A用户和C服务器建立连接时所处的Session同B用户和C服务器建立连接时所处的Session是两个不同的Session。

何时产生Session，怎样产生Session？

当客户端访问服务器时，服务器根据需求设置Session，将会话信息保存在服务器上，同时将标示Session的SessionId传递给客户端浏览器，

浏览器将这个SessionId保存在内存中，我们称之为无过期时间的Cookie。浏览器关闭后，这个Cookie就会被清掉，它不会存在于用户的Cookie临时文件。

以后浏览器每次请求都会额外加上这个参数值，服务器会根据这个SessionId，就能取得客户端的数据信息。

如果客户端浏览器意外关闭，服务器保存的Session数据不是立即释放，此时数据还会存在，只要我们知道那个SessionId,就可以继续通过请求获得此Session的信息，因为此时后台的Session还存在，当然我们可以设置一个Session超时时间，一旦超过规定时间没有客户端请求时，服务器就会清除对应SessionId的Session信息。

综上所述我们可以理解Session的建立流程是：

当用浏览器登录到某网站服务器时，先找对应的Cookie文件，当首次访问是当然没有Cookie文件，所以在请求头部中没有Cookie的内容，即在请求头部中没有类似Cookie: JSESSIONID=XXXXXXXXXXXXXXX的内容，这时当请求到达服务器后，服务器看请求头中没有JSESSIONID值，于是生成一个Session对象，并由某种算法产生一个值赋给这个Session的id,并将SessionId,和Session对象放入HashMap中，然后将这个SessionId发回以客户端，即在响应的头部有一行：Set-Cookie:JSESSIONID=XXXXXXXXXXXXXX，浏览器解析后会将在JSESSIONID和值记录到Cookie中。

当用浏览器再次请求此网站的另一页面时，浏览器检查看有没有Cookie，这时有Cookie（前提是Cookie没有过期），会自动的把Cookie的内容附加到请求头中，即在请求头附加了一行：Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXX，服务器接收到请求后会根据JSESSIONID的值知道SessionId的值，在tomcat中两个值是一样的，然后你可根据这个SessionId找到对应的Session，可由Session中登录后设定的某些值是否为空，来判断此用户是否登录。

当用户安全登出后（调用session.invalidate()），服务器会将Session销毁，并生成一个新的JSESSIONID发回用客户端，浏览器接收响应后，会将Cookie中的JSESSIONID换成新值，当用户再次访问此服务器时，会在请求中自动的加入新的JSESSIONID的值发到服务器，这时服务器根据JSESSIONID找不对应的Session了，因此就可知道是一次新的会话，服务器会生成一个Session对象，并将客户端发过来的JSESSION的值赋给这个Session的id。

如果客户端禁用了Cookie那么服务器可就无法将session内容与客户端对应上了。

Session以tomcat为例默认是保存在内存中的，但是我们可以通过配置将Session持久化，保存在硬盘文件中