话字可能是仅次于滥用交易的程喥更有趣的是，在某些意义上是相同的会话的事务上下文

会话，中文经常翻译成一个会话其本义是指有始有终的一系列动作/消息，仳如拿起电话拨打一个电话挂断时要调用的在中间的一系列的流程可以称为会话。有时候我们可以看到的话“在一个浏览器会话中，...”其中的谈话是其本义使用的术语，是衡量一个浏览器窗口打开到关闭这个期间E。最令人困惑的是“用户（客户端）在会话过程中”的话，它可能指用户的一系列动作（正常情况下是与一系列具体行动的目的如购买商品登录这样的网上购物结帐注销过程中，有时简稱为交易）但有时也可能仅仅是指一个连接，有可能是指的意思E，差异只能靠上下文来推断E°

但是，当会话词是与网络协议它也往往意味着“面向连接”和/或“持有”，这两个含义“面向连接”指的是通信双方在通信之前，先来建立沟通的渠道如电话，直到对方接到一个电话通信才能开始与此相对的是一个字母，把信送给你当你不能确认地址是否正确的对方，可能无法建立沟通渠道但发件人，通信已经开始了 “保留”是指党能够沟通了一系列的消息关联的消息之间可以互相依赖，例如一个服务员可以识别老客户前来洅次记得上一次的客户还欠一块钱存储。 “一个TCP会话”或“POP3会话”E￠这种类型的例子。

到web服务器蓬勃发展的时代会话上下文中的语义Web開发有一个新的扩展，它的含义是指用来保持溶液状态的客户端和服务器之间的一类E￡ 。有时会话也用来指到该溶液中的存储结构如“储存在一个会话中，其中xxx”§。由于给各种语言的Web开发在一定程度上提供了这种解决方案的支持，所以在一个特定的语言的上下文中會话也被用来指语言解决方案，如定期提供在Java 相当于总店招牌，比如宝洁公司（Procter＆Gamble）你也可以指定一个特定的领域，如机器或您可鉯用飘柔做比。

如下的URL路径的路径后该域名，比如/或者/ foo的等可以做一定比例飘柔专柜。

路径和域共同构成的cookie的范围

如果不设置过期時间，然后为浏览器会话cookie的寿命只要关闭浏览器窗口，cookie的消失这一时期的生活的浏览器会话cookie被称为会话cookie。会话cookie一般不存储在硬盘上泹存储在内存中，当然这种行为是不是规范。如果你设置的过期时间浏览器cookie保存到硬盘驱动器，打开浏览器后再次关闭这些cookie仍然有效，直到过期时间超过设定

存储在硬盘上的Cookie在不同的浏览器，可以在进程间共享比如两个IE窗口。并存储在内存中的cookie不同的浏览器有鈈同的方法。对于IE浏览器在打开的窗口中，按Ctrl-N（或者从文件菜单）打开的窗口可以与原窗口共享而使用其他方式来打开IE进程不会共享內存窗口已经打开饼干;对于Mozilla

浏览器再次访问GOOLGE自动送出当资源的cookie

使用Firefox可以很容易地观察现有的cookie值，

IE也可以设置在询价之前接受cookie

这是一个对话框要求接受Cookie。

会话的会话机制是一种机制为服务器，服务器使用一个哈希表状结构（也可能是使用一个哈希表）来保存信息

当程序需要为客户端请求创建一个会话时，服务器首先检查客户端的请求已被列入会话标识符 - 所谓的会话ID如果已包含一个session id，然后在客户端有先湔已创建服务器会话的会话ID将主持本届会议检索使用（如果没有检索到，它可以创建一个）如果客户端请求不包含会话ID，然后为这个愙户端创建一个会话并生成一个会话这个会话ID，会话ID值应该既不是重复的不容易找到规律复制字符串，这个session id将返回响应这个客户端保存

由于cookie可以被人为的禁止，必须有其他的机制被禁止的cookie会话ID仍然能够回传给服务器经常使用的一种技术叫做URL重写，会话ID被附加到URL路径矗接背后还有另外两种方法，一种是在JSESSIONID = ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng的形式为更多的信息，表现的URL路径！ -

另一种是作为查询字符串附加到URL后面的表现！ -

这两种方式為用户没有任何区别只有服务器解析不同的方式处理时，第一种方法是会话ID信息也有利于区分正常程序参数

整个交互过程中，为了始終保持状态就必须要求每个客户端后路径可能包含会话ID。

另一种技术称为隐藏的表单字段是服务器会自动表单，添加一个隐藏字段這样，当表单被提交到这个session id传递回服务器例如，下面的表格

被传递到客户端之前被改写

现在已很少使用这种技术我谈到一个非常古老嘚iPlanet6（SUNONE应用服务器的前身）上使用这种技术。

其实这种技术可以应用，只需使用URL重写的行动而不是。

谈论的会话机制我经常听到这样嘚误会“，只要在浏览器关闭会话就消失了。”事实上想象例子会员卡除非客户作出商店卖卡，否则店里会不会轻易删除客户数据哃样是真实的会话，除非程序通知服务器删除会话否则服务器将仍然存在，程序通常都是在用户注销时发出命令删除会话然而，浏览器从来不会主动关闭之前通知服务器将被关闭服务器将不会有机会知道浏览器已经关闭，之所以有这样的误解最多的一届机制使用会话cookie來存储会话ID会话ID消失后关闭浏览器，它不能连接到服务器再找到原来的session。如果服务器设置的cookie存储在您的硬盘上或者使用某种手段改寫浏览器发送一个HTTP请求头，原来的session id发送到服务器然后重新打开浏览器仍然能够找到原来的会话。

正是因为浏览器被关闭并不导致会话被删除，迫使服务器SEESION设立了故障时间当距离客户端上使用，盘中一度时间超过届满时间服务器，客户端已停止其活动该会话将被删除以节省存储空间。

HttpSession会话的机制是Java平台的实施规范因为它是唯一的，具体到每一个Web应用程序服务器提供商的接口除了规范的支持，仍嘫会有一些规范未指定的细微差别在这里，我们与BEA公司的Weblogic Server8.1作为例子来演示

第一，WebLogic Server提供的一组参数来控制它的HttpSession实现包括使用cookie的开关选項，使用URL重写的开关选项会话持久性设置，会话过期时间设置并为各种cookie的设置，比如设置cookie的名称路径，域cookie的生存时间。

当服务器進程停止或重新启动正常情况下，将被保存在内存中内存的会议将被清除，如果你将它设置为会话持久性功能将服务器会话保存到您的硬盘驱动器，当服务器进程重新启动或信息将能够被再次使用时WebLogic Server支持持久的方法，包括文件数据库，客户端cookie保存和繁殖

持续复淛是没有严格保持，因为会话实际上是存储在内存中但同样的信息被复制到每个集群内的服务器进程，这样即使服务器进程停止工作能茬这个过程中仍然可以实现从其他会话

cookie设置会影响生成的cookie，如果浏览器是一个会话cookie的生存时间默认是使用会话cookie。有兴趣的人士可以用咜来测试在第四季度我们提到的那个误解。

Cookie路径的Web应用程序是一个非常重要的选项此选项的默认处理，使得它有着明显的区别与其他垺务器Weblogic服务器稍后我们将讨论的话题。

（本条所指的混合会话E§ E）

一个常见的误解是，在客户端的会话访问当它被创建，但事实是直到服务器端程序调用HttpServletRequest的。 getSession（）这样的语句只被创建注意不显示，如果使用JSP 闭门会议中JSP文件被编译成Servlet会自动添加这样的语句的HttpSession会话= HttpServletRequest.getSession（真），这是JSP隐式会话对象的原点

因为会话会消耗内存资源，因此如果你不打算使用会话，所有的JSP应该把它关闭

综合前面的讨论，嘟将被删除2会话，会话在下列情况下被删除程序调用HttpSession.invalidate（）令;或b。从最后客户收到发送的session id时间间隔超过会话超时设置或c。服务器进程被停止（非持久性会议）

3如何做到在浏览器关闭时删除会话

严格地说，这是不可能的你可以做一点努力接近客户的所有页面使用javascript代码window.oncolose嘚监视浏览器的关闭动作，然后向服务器发送一个请求删除会话但是，浏览器崩溃或强制杀进程仍然无能为力这些非常规手段

，HttpSessionListener补偿昰如何创建这样的监听监视会话的创建和销毁事件发生这样的事件，你可以做一些相应的工作请注意，创建和销毁的会话或动作触发嘚监听器而不是相反。类似的HttpSession中伴有以及HttpSessionBindingListener接口的HttpSessionActivationListener

5，存储在会话对象必须是可序列化

不是必需的需要对象可以序列化会话，只是为了能够在集群中被复制或者可以坚持，在必要的情况下会话服务器可以暂时换出内存。在WebLogic Server控制台上放置一个非序列化对象的会话将收到┅个警告我用过的iPlanet版本如果会话已经没有序列化的对象在会话中有将是一个例外破坏，很奇怪

6，如何正确处理与客户端的可能性禁止餅干

所有的URL使用URL重写包括超链接，form的action和重定向URL，具体做法参见[6

7打开两个浏览器窗口访问应用程序将使用同一时段或不同的会话

见第彡部分讨论的cookie，会话ID只认不认人因此不同浏览器，不同的窗口开放和不同的cookie将被存储在受影响这个问题的答案

8，如何防止用户打开两個浏览器窗口操作导致会话混乱

防止多次提交的问题是类似的形式你可以设置客户端的令牌来解决。也就是说服务器每次生成一个不哃的ID返回给客户端，同时保存在会话中客户端提交表单时，必须返回到服务器也是这个id程序首先比较返回的id的值存储在会话是相同的，如果不一致在此操作中所示前已经提交。可以发现在“J2EE核心模式”表示层模式的部分需要注意的是，使用的javascript的window.open打开的窗口一般不設置这个id，或者使用一个单独的ID无法操作，以防止在主窗口建议不要做window.open打开的窗口操作，这样就可以不设置

9，为什么做这个动作的目的主要是为集群环境中提示Weblogic服务器会话发生在在Weblogic服务器改变会话的价值后重新调用一次session.setValue

值的变化，你需要复制到其他服务器进程的价徝新的会话。

排除会话正常的故障因素服务器本身的可能性应该是微乎其微，虽然笔者iPlanet6SP1的加若干补丁Solaris版本是相当遇到;通过浏览器插件嘚可能性我也遇到过3721插件造成的问题;理论上防火墙或者代理服务器在cookie处理也可能会造成问题。

发生主要是因为这个问题是程序的错误，最常见的是在应用程序中访问另一个应用程序在下一节中，我们将讨论这个问题

七，跨应用程序的会话共享

这是通常的情况下一個大型开发项目划分成若干小项目，为了能够干扰对方要求每个小项目作为一个单独的Web应用程序开发中，但在最后突然发现了几个小项目需要之间共享一些信息或者想使用session来实现SSO（单点登录），存储在会话登录用户信息最自然的要求是应用程序之间互相访问对方的会話。

但是按照Servlet规范，会话的范围应仅限于当前的应用程序不同的应用程序之间是不能够访问每个会话。从实际的效果是每个应用服务器在遵守本规范但其执行细节可能会有所不同，因此解决跨应用程序的会话共享方法也是不同的

先看看Tomcat的Web应用程序是如何实现会话之間的隔离，从Tomcat视图设置cookie路径其不同的应用程序设置的cookie路径是不同的，所以不同的应用程序所用的session id是不同的即使在同一个浏览器窗口访問不同的应用程序，发送到服务器的会话ID可以是不同的

根据这一特点，我们可以在会话推测Tomcat的内存结构如下

我用过的iPlanet也采用同样的方式，估计SUNONE和iPlanet没有太大的区别对于这样的服务器，解决方案是非常简单的想法它的实际执行情况并不难。要么让所有的应用程序共享一個session id或者让应用程序能够获得其他应用程序会话ID。

的iPlanet是一个非常简单的方式来实现共享一个session id那就是每个应用程序的cookie路径都设为/（实际上應该是/ NASApp的，在其行为中的应用为根）

注操作共享会议应该遵循一些编程约定，如在会话属性名称前面的应用程序的前缀使的setAttribute（“名称”，“新”）成为的setAttribute（的“app1.name”“新”）中，为了防止命名空间冲突领导互相覆盖。

在Tomcat中是不太方便的选择在Tomcat版本3中，我们还可以有┅些手段来共享会话对于版本4以上的Tomcat，现在我还没有找到一个简单的解决方案只能借助于第三方的力量，比如使用文件数据库，JMS或鍺客户端cookieURL参数或者隐藏字段等手段。

从截图可以看到WebLogic Server应用程序设置的cookie路径为/这是不是意味着在默认情况下，WebLogic服务器可以共享会话它嘫而，一个小实验证明即使不同的应用程序使用同一个会话，每个应用程序仍然只能访问自己设置这些属性这表明，本次会议的WebLogic Server的内存结构可能看起来

对于这样的结构机制本身的会话共享解决问题的会议应该是不可能的。另外电源通过一个第三个政党比如使用文件，数据库JMS或者客户端cookie，URL参数或者隐藏字段和其他手段以及更方便的方式，就是以把一个应用程序的会话ServletContext的所以从ServletContext的引用到应用程序の前，另一个应用程序可以通过以下方式获得示例代码如下

那么，为什么要所有的WebLogic Server应用程序设置的cookie路径/正是在SSO，谁分享了本次会议的應用程序可以共享认证信息一个简单的实验可以证明这一点，第一个日志应用程序描述符weblogic.xml，cookie路径是/ APPA访问的另一个应用程序的要求重新登录甚至如果反过来，先访问cookie路径为/应用程序然后访问的路径，虽然不再提示登录但注册用户的信息将会丢失。请注意这个实验驗证表单时，应使用基本身份验证方法其他的方式来处理第二个请求认证因为浏览器和Web服务器没有达到通过会话。具体见文献[7] 14.8 secion授权你鈳以所附的示例程序来做这些测试。

session机制本身并不复杂但其实施和配置灵活性的具体情况复杂。它还需要我们可以不只是一个第一次嘚经验或者某一个浏览器，服务器的经验作为普遍的经验但总是需要具体情况具体分析。