关了浏览器session当然仍然存在,因为session是储存在服务器端的,而服务器是不可能知道你有没有关掉浏览器。
服务器只是简单的保持session接受用户请求,只有当session一段时间没有被请求(比如30分钟以后),服务器才会把session作废。客户端与服务器交互session的时候,客户端会生成一个cookie,这个cookie包含了当前session的ID号。你再次打开浏览器的时候,浏览器会发送这个ID号,如果此时session还没失效的话,服务器就能通过ID号识别出你,从而继续交互session。一般来讲如果服务器关闭,那么所有的session都会消失。
还有,session的setAttribute根本不是用来设置session的过期时间的。设置过期时间是在web.xml里面,或者session的setMaxInactiveInterval方法。
来自:http://www.jobui.com/mianshiti/it/web/5078/
在谈论session机制的时候,常常听到这样一种误解“只要关闭浏览器,session就消失了”。其实可以想象一下会员卡的例子,除非顾客主动对店家提出销卡,否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的,除非程序通知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然能够找到原来的session。
恰恰是由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。
来自:http://justsee.iteye.com/blog/1570652