在web开发中，session是个非常重要的概念。在许多动态网站的开发者看来，session就是一个变量，而且其表现像个黑洞，他只需要将东西在合适的时机放进这个洞里，等需要的时候再把东西取出来。这是开发者对session最直观的感受，但是黑洞里的景象或者说session内部到底是怎么工作的呢？当笔者向身边的一些同事或朋友问及相关的更进一步的细节时，很多人往往要么含糊其辞要么主观臆断，所谓知其然而不知其所以然。

笔者由此想到很多开发者，包括我自己，每每都是纠缠于框架甚至二次开发平台之上，而对于其下的核心和基础知之甚少，或者有心无力甚至毫不关心，少了逐本溯源的精神，每忆及此，无不惭愧。曾经实现过一个简单的HttpServer，但当时由于知识储备和时间的问题，没有考虑到session这块，不过近期在工作之余翻看了一些资料，并进行了相关实践，小有所得，本着分享的精神，我将在本文中尽可能全面地将个人对于session的理解展现给读者，同时尽我所能地论及一些相关的知识，以期读者在对session有所了解的同时也能另有所悟，正所谓授人以渔。

Session是什么
    Session一般译作会话，牛津词典对其的解释是进行某活动连续的一段时间。从不同的层面看待session，它有着类似但不全然相同的含义。比如，在web应用的用户看来，他打开浏览器访问一个电子商务网站，登录、并完成购物直到关闭浏览器，这是一个会话。而在web应用的开发者开来，用户登录时我需要创建一个数据结构以存储用户的登录信息，这个结构也叫做session。因此在谈论session的时候要注意上下文环境。而本文谈论的是一种基于HTTP协议的用以增强web应用能力的机制或者说一种方案，它不是单指某种特定的动态页面技术，而这种能力就是保持状态，也可以称作保持会话。

在一般系统登录后，都会设置一个当前session失效的时间，以确保在用户长时间不与服务器交互，自动退出登录，销毁session

具体设置的方法有三种：

1.在web容器中设置（以tomcat为例）

在tomcat-7.0\conf\web.xml中设置，以下是tomcat7.0中默认配置：

<session-config>

<session-timeout>30</session-timeout>

</session-config>

tomcat默认session超时时间为30分钟，可以根据需要修改，负数或0为不限制session失效时间

这里要注意这个session设置的时间是根据服务器来计算的，而不是客户端。所以如果在调试程序，应该是修改服务器端时间来测试，而不是客户端

2.在工程的web.xml中设置

<!--时间单位为分钟-->

<session-config>

<session-timeout>15</session-timeout>

</session-config>

　这里的15是指15分钟失效

3.通过java代码设置

session.setMaxInactiveInterval(30*60);//以秒为单位，即在没有活动30分钟后，session将失效

三种方式优先等级：1 < 2 < 3

在一般系统中，也可能需要在session失效后做一些操作：

1.控制用户数，当session失效后，系统的用户数减少一个，控制用户数量在一定范围内，确保系统的性能

2.控制一个用户多次登录，当session有效时，如果相同用户登录，就提示已经登录了，当session失效后，就可以不同提示，直接登录

那么如何在session失效后，进行一系列的操作呢？

这里就需要用到监听器了，即当session因为各种原因失效后，监听器就可以监听到，然后执行监听器中定义好的程序就可以了

监听器类为：HttpSessionListener类，有sessionCreated和sessionDestroyed两个方法

自己可以继承这个类，然后分别实现

sessionCreated指在session创建时执行的方法

sessionDestroyed指在session失效时执行的方法

例子：

</>code
public class OnlineUserListener implements HttpSessionListener{
    public void sessionCreated(HttpSessionEvent event){
        HttpSession session=event.getSession;
        String id=session.getId()+session.getCreationTime();
        SummerConstant.UserMap.put(id,Boolean.TRUE);//添加用户
    }
    
    public void sessionDestroyed(HttpSessionEvent event){
        HttpSession session=event.getSession;
        String id=session.getId()+session.getCreationTime();
        synchronized(this){
            SummerConstant.USERNum--;//用户数减-
            SummerConstant.UserMap.remove(id);//从用户组中移除掉，用户组为一个map
        }
    }
}

然后只需要把这个监听器在web.xml中声明就可以了

<listener>

<listener-class>com.demo.OnlineUserListener</listener-class>

</listener>

1."在一次做非常复杂的ajax应用时，如果一个会话已经超时，但是此时再通过ajax请求，那么ajax返回的则是一个登陆页面的html，那这下就惨了，页面上而已就乱了"
2."对于普通的http请求，可以通过过滤器Filter来判断session超时，然后跳转到登录页面；但是对于Ajax请求，则不会如期待的那样自动转到登录页面（我试了网站上的许多种方案，都是停留在当前页面）"
3.Ajax请求后台数据虽然会被过滤器filter拦截，但是因为Ajax操作与对页面整个页面的提交请求不一样，filter中的重定向并不能使之跳到一个新的页面，因此需要我们去做特殊的处理。处理原理很简单，如果session超时，filter返回一个超时标识给客户端，客户端检测到超时头信息，跳转到指定页面。
4.当session超时时，如果不是ajax请求，很简单就能实现跳到指定的页面；但是ajax请求就会有问题：如果是ajax类型的弹出框则会在弹出框中显示跳转的指定页面，如果是正常ajax请求，则可能会显示源代码等。
5.http://www.iteye.com/topic/1126552
6.http://www.cnblogs.com/shencheng/archive/2011/01/07/1930227.html
7.区分ajax请求和普通http请求：session超时处理、exception处理

---sessionListener

web.xml:

</>code
    <session-config> 
       <session-timeout>1</session-timeout> <!--单位min，若为-1则永远不超时-->
    </session-config> 
    
    <listener>
       <listener-class>test.MyHttpSessionListener</listener-class>
    </listener>

Listener:

</>code
public class MyHttpSessionListener implements HttpSessionListener {  
//创建  
public void sessionCreated(HttpSessionEvent arg0) {  
System.out.println("sessionCreated..........");  
}  
//销毁
public void sessionDestroyed(HttpSessionEvent arg0) {  
System.out.println("sessionDestroyed........");  
}  
}

---session过期判断：跳转到登录页面
web.xml:(配置在springmvc的拦截之前)

</>code
  <filter>
      <filter-name>sessionFilter</filter-name>
      <filter-class>test.SessionFilter</filter-class> 
  </filter>
  <filter-mapping>
      <filter-name>sessionFilter</filter-name>
      <url-pattern>/user/*</url-pattern>
  </filter-mapping>

Filter:

</>code
public class SessionFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
ServletException {
if (!(request instanceof HttpServletRequest) || !(response instanceof HttpServletResponse)) {
throw new ServletException("OncePerRequestFilter just supports HTTP requests");
}
 
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
//
String userId = (String) req.getSession().getAttribute("userId");
//
if ((userId == null) || "".equals(userId)) {
//
res.sendRedirect(req.getContextPath() + "/loginDemo");
//
}
System.out.println("判断： " + req.getSession(false));
if (null == req.getSession(false)) {
//
if (true == req.getSession(true).isNew()) {
//
System.out.println("new request");
//
} 
System.out.println("session已经过期");
if (req.getHeader("x-requested-with") != null 
&& req.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest")) {  
System.out.println("ajax超时处理..............");
res.addHeader("sessionstatus", "timeout");   
res.addHeader("loginPath","loginurl");
res.setCharacterEncoding("utf-8");
            res.setContentType("text/html;charset=UTF-8");
            OutputStream out = response.getOutputStream();
            PrintWriter pw = new PrintWriter(new OutputStreamWriter(out,"utf-8"));
            pw.println("{\"result\":false,\"errorMessage\":\"您未登录,请先登录\"}");
            pw.flush();
            pw.close();
//前端js处理
            return;
}else{
System.out.println("http超时处理.............");
res.sendRedirect(req.getContextPath() + "/index.page");
return;
} 
} else{
System.out.println("Session is active!");
}
System.out.println("sessionFilter doFilter..........");
chain.doFilter(request, response);
}
public void destroy() {
}
public void init(FilterConfig filterConfig) {
}
}

--前端JS处理：

</>code
$(document).ajaxComplete(function(event, xhr, settings) {
if(xhr.getResponseHeader("sessionstatus")=="timeOut"){
if(xhr.getResponseHeader("loginPath")){
window.location.replace(xhr.getResponseHeader("loginPath"));
}else{
alert("Request time out relogin plase !");
}
}
}); 
//全局的ajax访问，处理ajax清求时sesion超时
$.ajaxSetup({
contentType:"application/x-www-form-urlencoded;charset=utf-8",
complete:function(XMLHttpRequest,textStatus){
//通过XMLHttpRequest取得响应头，sessionstatus，
var sessionstatus=XMLHttpRequest.getResponseHeader("sessionstatus"); 
if(sessionstatus=="timeout"){
//如果超时就处理 ，指定要跳转的页面
window.location = "<c:url value="/" />";
}
}
});

• 超时
• session