关于HttpSession HttpSession

　　 使用Cookie有一个非常大的局限，就是如果Cookie很多，则无形的增加了客户端与服务端的数据传输量。而且由于浏览器对Cookie数量的限制，注定我们不能再Cookie中保存过多的信息，于是Session出现。

　　Session的作用就是在服务器端保存一些用户的数据，然后传递给用户一个名字为JSESSIONID的Cookie，这个JESSIONID对应这个服务器中的一个Session对象，通过它就可以获取到保存用户信息的Session。

Session的工作原理

Session的创建

　　  Session的创建时机是在request.getSession()方法第一次被调用时。

　　  Session被创建后，同时还会有一个名为JSESSIONID的Cookie被创建。

　　这个Cookie的默认时效就是当前会话。

Session的使用

　　Session被创建后，对应的Cookie被保存到浏览器中，之后浏览器每次访问项目时都会携带该Cookie。

　　 当我们再次调用时会根据该JSESSIONID获取已经存在的Cookie，而不是在创建一个新的Cookie。

　　如果Cookie中有JSESSIONID，但是JSESSIONID没有对应的Session存在，则会重新创建一个HttpSession对象，并重新设置JSESSIONID。

Session时效

　　基本原则

　　Session对象在服务器端不能长期保存，它是有时间限制的，超过一定时间没有被访问过的Session对象就应该释放掉，以节约内存。所以Session的有效时间并不是从创建对象开始计时，到指定时间后释放——而是从最后一次被访问开始计时，统计其“空闲”的时间。

　　默认设置

　   在全局web.xml中能够找到如下配置：

  <!-- ==================== Default Session Configuration ================= -->

  <!-- You can set the default session timeout (in minutes) for all newly   -->

  <!-- created sessions by modifying the value below.                       -->

 

    <session-config>

        <session-timeout>30</session-timeout>

    </session-config>

　　说明Session对象默认的最长有效时间为30分钟。

　　手工设置

　　　　 session.setMaxInactiveInterval(int seconds)

　　　　 session.getMaxInactiveInterval()

　　　　当int seconds小于等于零时，session对象永远有效

　　强制失效

　　　　session.invalidate()

　　可以使Session对象释放的情况

　　　　  Session对象空闲时间达到了目标设置的最大值，自动释放

　　　　  Session对象被强制失效

　　　　 Web应用卸载

　　　　 服务器进程停止

URL重写

　　 在整个会话控制技术体系中，保持JSESSIONID的值主要通过Cookie实现。但Cookie在浏览器端可能会被禁用，所以我们还需要一些备用的技术手段，例如：URL重写。

　　 URL重写其实就是将JSESSIONID的值以固定格式附着在URL地址后面，以实现保持JSESSIONID，进而保持会话状态。这个固定格式是：URL;jsessionid=xxxxxxxxx

　　  例如：

　　 实现方式：

　　　　response.encodeURL(String)

　　　   response.encodeRedirectURL(String)

　　　   例如：

       //1.获取Session对象

       HttpSession session = request.getSession();

      

       //2.创建目标URL地址字符串

       String url = "targetServlet";

      

       //3.在目标URL地址字符串后面附加JSESSIONID的值

       url = response.encodeURL(url);

      

       //4.重定向到目标资源

       response.sendRedirect(url);

　　Session机制很好的解决了Cookie的不足，但是当访问应用的用户很多时，服务器上就会创建非常多的Session对象，如果不对这些Session对象进行处理，那么在Session失效之前，这些Session一直都会在服务器的内存中存在。那么就，就出现了Session活化和钝化的机制。

Session的活化和钝化

　 　Session钝化：Session在一段时间内没有被使用时，会将当前存在的Session对象序列化到磁盘上，而不再占用内存空间。

　　 Session活化：Session被钝化后，服务器再次调用Session对象时，将Session对象由磁盘中加载到内存中使用。

　　 如果希望Session域中的对象也能够随Session钝化过程一起序列化到磁盘上，则对象的实现类也必须实现java.io.Serializable接口。不仅如此，如果对象中还包含其他对象的引用，则被关联的对象也必须支持序列化，否则会抛出异常：java.io.NotSerializableException

　　  当访问服务器的用户过多时，会有非常多的会话产生，这些会话，每一个会话都会对应一个HttpSession对象。这时在服务器的内存会存在大量的Session对象，但是这些对象并不是都在使用中，所以我们希望将这些不使用的Session对象钝化到硬盘中，当这些对象再次使用时，在活化进内存。

　　在Tomcat的配置文件conf/context.xml文件的根标签中加入如下代码
　　　　<Manager className="org.apache.catalina.session.PersistentManager" maxIdleSwap="1">
　　　　　　<Store className="org.apache.catalina.session.FileStore" directory="mySession" />
　　　　</Manager>

　　maxIdleSwap属性：指的Session闲置时间，当闲置一定时间以后，会自动钝化到硬盘中
　　directory属性：Session钝化后的目标文件夹