Session的生命周期

Session的生命周期

Session存储在服务器端，一般为了防止在服务器的内存中（为了高速存取），Sessinon在用户访问第一次访问服务器时创建，需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session，可调用request.getSession(true)强制生成Session。

　　Session什么时候失效？

　　1. 服务器会把长时间没有活动的Session从服务器内存中清除，此时Session便失效。Tomcat中Session的默认失效时间为20分钟。

　　2. 调用Session的invalidate方法。

　　Session对浏览器的要求：

　　虽然Session保存在服务器，对客户端是透明的，它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一客户，因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie，它的值为该Session的id（也就是HttpSession.getId()的返回值）。Session依据该Cookie来识别是否为同一用户。

　　该Cookie为服务器自动生成的，它的maxAge属性一般为-1，表示仅当前浏览器内有效，并且各浏览器窗口间不共享，关闭浏览器就会失效。因此同一机器的两个浏览器窗口访问服务器时，会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口（也就是说不是双击桌面浏览器图标等打开的窗口）除外。这类子窗口会共享父窗口的Cookie，因此会共享一个Session。

　　注意：新开的浏览器窗口会生成新的Session，但子窗口除外。子窗口会共用父窗口的Session。例如，在链接上右击，在弹出的快捷菜单中选择”在新窗口中打开”时，子窗口便可以访问父窗口的Session。

**

关闭浏览器后Session失效原因分析

**

首先需要理解一下几点：
1、Http是无状态的，即对于每一次请求都是一个全新的请求，服务器不保存上一次请求的信息
2、Session是保存在服务端的，为什么后续请求会读取到session？因为请求会包含一个sessionId，该值存储在cookie中，服务器通过这个sessionId找到对应的session
3、cookie是有过期时间的，规则如下： Cookie的Max-Age决定了Cookie的有效期,单位为秒
如果为 0：Cookie立即作废(如果原先浏览器已经保存了该Cookie,那么可以通过设置Max-Age为0使其失效)
如果小于0：默认,表示只在浏览器内存中存活,一旦浏览器关闭则Cookie销毁，浏览器的max-age默认为-1
如果大于0: 将Cookie持久化到硬盘上,有效期由Max-Age决定

综上所述：
1、sessionId是一个cookie，max-age默认为-1，即关闭浏览器后sessionId就会清空
2、sessionId（cookie）清空后，自然就无法找到对应的session，所以session就失效了