PPT链接：https://ptteng.github.io/PPT/PPT-java/java_task_05_whatissession.html#/
视频链接：https://v.qq.com/x/page/a0538rfwjts.html
1、背景介绍
Http协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；

Session的主要目的就是为了弥补Http的无状态特性。简单的说，就是服务器可以利用session存储客户端在同一个会话期间的一些操作记录；

2、知识剖析
对Tomcat而言，Session是一块在服务器开辟的内存空间，其存储结构为ConcurrentHashMap，ConcurrentHashMap 本次小课堂不作讲解。

3、常见问题
①、服务器如何判断客户端发送过来的请求是属于同一个会话？
答：用Session id区分，Session id相同的即认为是同一个会话，在Tomcat中Session id用JSESSIONID表示；

②、服务器、客户端如何获取Session id？Session id在其之间是如何传输的呢？
Session id是服务端生成的，但是通过cookie存储在客户端上；
客户端第一次请求的时候，服务端通过Set-Cookie要求客户端设置sessionId的cookie信息，然后每次客户端都带着这个session ID去请求服务端，服务端就是这么辨别的。

4、编码实战
如下，编写一个servlet，定义一个 Integer 类型的变量用于记录这个servlet被访问的次数。

session中获取key为count的值，累加，存入session，并打印。

然后，每次从请求中获取打印cookie信息，从响应中获取打印Header的Set-Cookie信息：

public class Test2Servlet extends HttpServlet {

    private Integer index = 0;

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        if (request.getSession().getAttribute("count") == null) {
            request.getSession().setAttribute("count", 0);
            response.getWriter().write(0 + "");
        } else {
            int a = Integer.parseInt(request.getSession().getAttribute("count").toString());
            request.getSession().setAttribute("count", ++a);
            response.getWriter().write(a + "");
        }

        Cookie[] cookies = request.getCookies();
        StringBuffer sb = new StringBuffer();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                sb.append(cookie.getName() + ":" + cookie.getValue() + ",");
            }
            sb.deleteCharAt(sb.length() - 1);
        }

        System.out.println("[第" + (++index) + "次访问]from client request, cookies:" + sb);
        System.out.println("[第" + (index) + "次访问]from server response, header-Set-Cookie:" + response.containsHeader("Set-Cookie"));

        long l = System.currentTimeMillis();
    }

testTru.png

部署到了 Tomcat 后，连续访问该 servlet，注意观察console输出，可以见到当客户端第一次访问服务器的时候，在服务端的响应头添加了JSESSIONID 信息，且接下来客户端的每次访问都会带上该 JSESSIONID。

其实这里还包含了一个问题，如果把不同的客户端的JSESSIONID伪造成是一样的话，是否能“骗”过服务器、使服务器任务是来自同一客户端的请求呢？

只要用户知道JSESSIONID，该用户就可以获取到JSESSIONID对应的session内容，还是以上面这个例子为例，

我先用火狐浏览器访问该站点，比如连续访问了4次，此时，session中的count值为：

firefox访问4次.png

接着打开chrome浏览器，打开控制台，将该jsessionId写入chrome。

chromeCookie.png

修改cookie.png

刷新页面，发现我们从session获取的count值已经变成6了，说明此次chrome浏览器的请求劫持了IE浏览器会话中的session，

QQ截图20170815153714.png

5、扩展思考
6、参考文献
http://www.cnblogs.com/chenpi/p/5434537.html
7、更多讨论
凯博同学提问，JSESSIONID与用户自己定义的cookie是保存在一起的吗？
纪林同学提问，如果禁用了浏览器的cookie，那会造成什么样的“后果”？