白话讲session

什么是session

Session一般译作会话，牛津词典对其的解释是进行某活动连续的一段时间。从不同的层面看待session，它有着类似但不全然相同的含义。比如，在web应用的用户看来，他打开浏览器访问一个电子商务网站，登录、并完成购物直到关闭浏览器，这是一个会话。而在web应用的开发者开来，用户登录时我需要创建一个数据结构以存储用户的登录信息，这个结构也叫做session。因此在谈论session的时候要注意上下文环境。

为什么用session

session用来解决http无状态的问题

什么是无状态？

• 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。那个时候没有动态页面技术，只有纯粹的静态HTML页面，因此根本不需要协议能保持状态；每一次请求之间并没有联系。
• 用户在收到响应时，往往要花一些时间来阅读页面，因此如果保持客户端和服务端之间的连接，那么这个连接在大多数的时间里都将是空闲的，这是一种资源的无端浪费。所以HTTP原始的设计是默认短连接，即客户端和服务端完成一次请求和响应之后就断开TCP连接，服务器因此无法预知客户端的下一个动作，它甚至都不知道这个用户会不会再次访问，因此让HTTP协议来维护用户的访问状态也全然没有必要；
• 讲一个故事：楼下老王的烧烤档生意很好，每天都人山人海，大胖隔三差五就去一次，大胖很喜欢撸串，人人都知道，就连老王都知道（老王不知道大胖长什么样），老王也想想给大胖这样的客户打个折。每次买单的时候，都跟老王说，打个折行不行，老王说不行，大胖说我经常来，老王说我知道大胖这个人经常来，但是我不知道大胖是谁，每天都有客人，我哪里知道谁是大胖，大胖心里忒不爽。在这里，大胖就好比一个用户，老王就好比服务器，老王知道大胖这个人常来（服务器存储了用户的信息），"打折"这个要求就类似于用户发送的一个请求，老王并不知道是哪个人想要打折（服务器不知道这次请求是要对谁执行），必须要要有一个证明，证明这个人是大胖。

无状态会有什么问题？

我们每次发送请求给服务器，服务器并不知道你是谁，如果涉及到数据库操作，要对修改某一个用户的信息，那么这儿时候该对修改谁的？就像老王并不知道刚进店里的那个胖子是大胖，那么就没办法给他打折了，难不成给几年不来一次的小瘦也打折。

怎么解决无状态？

于是协商之下，决定办一张大胖特有的会员卡，下次买单的时候，老王依然对大胖没有印象。大胖心想，早预料到你这样说了，然后从裤兜里掏出会员卡，给！老王，老王把卡上的号码和本子一对，确实是这个人。哈哈，胖爷，原来是你，老王二话不说就给大胖打了折，然后大胖咬着牙签，大遙大摆地走了。但是其实，老王记性还不是很好，每次都要对卡号才知道谁是大胖。

怎么用session（实现自动登录）

因为请求是无状态的，所以每次请求，我们都需要出示证明。
比如说我想跳过登录，直接访问主页，我们会发现，我们会跳回到登陆页。
后台：

@WebServlet("/Login")
public class Login extends HttpServlet {
	private static final long serialVersionUID = 1L;
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		String username=request.getParameter("username");
		String password=request.getParameter("password");
                //登录成功会给session对象设置标志
		if(username.equals("123")&&password.equals("123"))
			request.getSession().setAttribute("user", "usernmae");
		
		response.sendRedirect("index.jsp");
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

}

登录成功后，服务器会为这个session对象做一个标记（比如在这里给这个session设置了一个属性，登录成功就设置）

我们试着不登录直接访问index.jsp,发现会跳转到login.html。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<% 
	Object user=session.getAttribute("user");
	if(user==null)
		response.sendRedirect("login.html");
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>index.jsp</title>
</head>
<body>
登录进来了
</body>
</html>

分析一下这个过程：

从图上发现发送登录请求的时候，同时发送了cookie，服务器根据这个sessionid找到对应的session（无论你有没有登录成功，服务器都会对应创建一个session对象），然后查找有没有这个session对象是否正确登录了（比如正确登录后会在这个session对象设置“user"属性，那么我们就知道来的这个人是大胖了），如果没有就跳回登录页。
也就是说，这个发送证明的过程不用我们来做，浏览器帮我们做好了，但是浏览器要存储这个证明（cookie）。

后面会继续更新关于cookie的总结，会把session和cookie进行对比。

我觉得分享是一种精神，分享是我的乐趣所在，不是说我觉得我讲得一定是对的，我讲得可能很多是不对的，但是我希望我讲的东西是我人生的体验和思考，是给很多人反思，也许给你一秒钟、半秒钟，哪怕说一句话有点道理，引发自己内心的感触，这就是我最大的价值。（这是我喜欢的一句话，也是我写博客的初衷）