session的生命周期

session简介
　　Session直接翻译成中文比较困难，一般都译成时域。在计算机专业术语中，Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入系统到注销退出系统之间所经过的时间以及如果需要的话，可能还有一定的操作空间。
 　　具体到Web中的Session指的就是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。
 　　需要注意的是，一个Session的概念需要包括特定的客户端，特定的服务器端以及不中断的操作时间。A用户和C服务器建立连接时所处的Session同B用户和C服务器建立连接时所处的Session是两个不同的Session。
 　　session的工作原理
 　　（1）当一个session第一次被启用时，一个唯一的标识被存储与本地的cookie中。
 　　（2）首先使用session_star()函数，PHP从session仓库中加载已经存储的session变量 
 　　（3) 当执行PHP脚本时，通过使用session_register()函数注册session变量
 　　（4）当PHP脚本执行结束时，未被销毁的session变量会自动被保存在本地一定路径下的session库中，这个路径可以通过php.ini文件中的session.save_path指定，下次浏览网页时可以加载使用。
   一、ASP的Session对象
  其属性Timeout （读/写。整型)。为这个会话定义以分钟为单位的超时周期。如果用户在超时周期内没有进行刷新或请求一个网页，该会话结束。在各网页中根据
需要可以修改。缺省值是10min。在使用率高的站点上该时间应更短。
   二、.net的session
在每次读取Session的值以前请务必先判断Session是否为空，否则很有可能出现“未将对象引用设置到对象的实例”的异常(出现这种异常原因之一就是session超时)。Session使用一种平滑超时的技术来控制何时销毁Session。默认情况下，Session 的超时时间（Timeout）是20分钟，用户保持连续20分钟不访问网站，则Session被收回，如果在这20分钟内用户又访问了一次页面，那么20 分钟就重新计时了，也就是说，这个超时是连续不访问的超时时间，而不是第一次访问后20分钟必过时。这个超时时间同样也可以通过调整Web.config 文件进行修改；在程序中进行设置：Session.Timeout = "30";
一旦Session超时，Session中的数据将被回收，如果再使用Session系统，将给你分配一个新的SessionID。
不过，你可别太相信Session的Timeout属性，如果你把它设置为24小时，则很难相信24小时之后用户的Session还在。Session是否存在，不仅仅依赖于Timeout属性，以下的情况都可能引起Session丢失（所谓丢失就是在超时以前原来的Session无效）。
   三、在JSP中
　　Jsp的session是使用bean的一个生存期限,一般为page,session意思是在这个用户没有离开网站之前一直有效，如果无法判断用户何时离开，一般依据系统设定，tomcat中设定为30分钟. 
      四、php中的session
在PHP开发中对比起Cookie，session 是存储在服务器端的会话，相对安全，并且不像 Cookie 那样有存储长度限制；Session 能否像 Cookie 那样设置生存周期呢?有了 Session 是否就完全抛弃 Cookie 呢?我想说，结合 Cookie 来使用 session 才是最方便的。 
如果客户端没有禁用 Cookie，则 Cookie 在启动 Session 会话的时候扮演的是存储 Session ID 和 session 生存期的角色。
 　　我们来手动设置 session 的生存期：
 　　session_start(); 　　// 保存一天
 　　$lifeTime = 24 * 3600; 
　　setcookie(session_name(),session_id(),time() + $lifeTime,"/"); 
　　> 
　　其实 Session 还提供了一个函数 session_set_cookie_params(); 来设置 Session 的生存期的，该函数必须在 session_start() 函数调用之前调用：
 　　// 保存一天 　　<?php 　　$lifeTime = 24 * 3600; 　　session_set_cookie_params($lifeTime); 　　session_start(); 　　$_session["admin"] = true; 　　>
session生命周期的讨论

 

  一个浏览器只有一个Session, 浏览器关闭Session就消失了.其实这种方法是不正确的.
 
 

            要了解Session首先要知道一个概念：Session的销毁只有两种情况：第一：session调用了 session.invalidate()方法. 第二：前后两次请求超出了session指定的生命周期时间. 其中Session的生命周期时间可以在web.xml配置. 默认30分钟 在web.xml可以做如下配置:
 
 

  <session-config>
      <session-timeout>5</session-timeout>
</session-config>
 
 

          如何来证明关闭浏览器的时候Session没有销毁呢?  我们可以创建一个SessionListener 此监听器专门用来监听Session的生命周期的.代码如下：
 
 


  
 

 
 

  别忘记在web.xml中配置监听器, 配置完毕后 可以做个测试. 当浏览器关闭后此监听器的 sessionDestroyed方法并没有执行,而是在5分钟左右(个人电脑没有那么精确) 才会触发sessionDestroyed ,当然 再打开浏览器的时候 sessionCreated 会自动调用 关闭5分钟后sessionDestroyed 又会自动调用, 通过getID方法大家可以判断是否为同一个Session. 所以网上说明的关闭浏览器Session就消失.其实并不正确. 如果没有任何配置的情况下. 关闭浏览器30分钟后Session才会消失的.
 
 

          我们可以利用这个概念做什么呢？ 最典型的就是利用 SessionListener  的sessionDestroyed方法 来记录用户非正常退出的时间. 用户在访问某个网站的时候(目前的银行网站都有此功能) 显示了用户的最后登录时间. 此时间如何获取. 在这里分两种情况
 
 

          如果用户按"退出" 按钮那就好说了. 跳转到action中.记录下用户退出的时间. 存储到持久层中
 
 

          如果用户非正常退出, 在没有配置Session的情况下 默认会在30分钟后调用sessionDestroyed 那么我们同样可以在此获取用户退出的时间,在sessionDestroyed 调用业务逻辑完成我们想要实现的功能
 
 

   
 
 

  有关Session第2个典型的应用就是Session中存储了用户的登录信息. 那么就可以访问用户权限的一些页面.
 
 

         有关这个应用要注意一个问题: 存储到session中的 User对象一定要实现Serializable接口. Serializable的作用可以参考相关资料.正常情况下当我们做测试的时候关闭Tomcat 大家会在  Tomcat安装目录\work\Catalina\localhost\项目名 文件夹下面看到有一个 SESSIONS.ser 的文件.
 
 

  

 
 
 

  此文件就是Session在Tomcat停止的时候 持久化到硬盘中的文件. 所有当前访问的用户Session都存储到此文件中. Tomcat启动成功后.SESSIONS.ser  又会反序列化到内存中,所以启动成功后此文件就消失了. 所以正常情况下 从启Tomcat用户是不需要登录的. 注意有个前提.就是存储到Session里面的user对象所对应的User类必须要序列化才可以