什么是session

session在网络应用中称为“会话控制”，是服务器为了保存用户状态而创建的一个特殊的对象。简而言之，session就是一个对象，用于存储信息。

session和cookie的比较

cookie保存在客户端，session保存在服务端

cookie作用于他所表示的path中(url中要包含path)，范围较小。session代表客户端和服务器的一次会话过程，web页面跳转时也可以共享数据，范围是本次会话，客户端关闭也不会消失。会持续到我们设置的session生命周期结束(默认30min)

我们使用session需要cookie的配合。cookie用来携带JSESSIONID

cookie存放的数据量较小，session可以存储更多的信息。

cookie由于存放在客服端，相对于session更不安全

由于session是存放于服务器的，当有很多客户端访问时，肯定会产生大量的session，这些session会对服务端的性能造成影响。

session有什么用

我们先来想一个问题，这个问题就是我们在游览购物网站时，我们并没有登录，但是我们任然可以将商品加入购物车，并且进行查看，当我们退出游览器后再打开游览器进行查看时，购物车中依然有我们选择的商品，这该怎么实现呢？

当然，我们可以使用cookie，但是cookie能存放大量数据吗？这时，我们就需要一种新的技术，Session。session是存储于服务器端的特殊对象，服务器会为每一个游览器(客户端)创建一个唯一的session。这个session是服务器端共享，每个游览器(客户端)独享的。我们可以在session存储数据，实现数据共享。

工作原理图

session的存储形式

session类似于一个Map，里面可以存放多个键值对，是以key-value进行存放的。key必须是一个字符串，value是一个对象。

session底层实现机制

session是每一个游览器(客户端)所唯一的，这个是怎么实现的呢？其实，在访问一个网站时，在HTTP请求中往往会携带一个cookie，这个cookie的名字是JSESSIONID，这个JSESSIONID表示的就是session的id，这个是由服务器创建的，并且是唯一的。服务器在使用session时，会根据JSESSIONID来进行不同操作。

当我们在服务端使用session时，首先要获取session，这个session是通过JSESSIONID进行获取。当然，这时就已经有好多种情况了。例如游览器访问时没有携带JSESSIONID，游览器携带的JSESSIONID对应的session不存在(或者失效)等情况。上面这个图就对服务器获取session的一些情况进行了说明。

session常用方法

resquest.getSession()：得到请求游览器(客户端)对应的session。如果没有，那么就创建应该新的session。如果有那么就返回对应的session

setAttribute(String s, Object o)：在session存放属性

getAttribute(String s)：从session中得到s所对应的属性

removeAttribute(String s)：从session中删除s对应的属性

getId()：得到session所对应的id

invalidate()：使session立即无效

setMaxInactiveInterval(int i)：设置session最大的有效时间。注意，这个有效时间是两次访问服务器所间隔的最大时间，如果超过最大的有效时间，那么这个session就失效了。