【Web】Tomcat中利用Session识别用户的基本原理

HTTP无状态的特性与Session、Cookie的存在

HTTP有一个特性：无状态的，就是前后两个HTTP事务它们并不知道对方的信息。
而为了维护会话信息或用户信息，一般可用Cookie或Session技术缓存信息。

• Cookie是存储在客户端的
• Session是存储在服务端的
  

如何生成session id？如何根据session id获取session？如何生成session？

客户端请求服务器时，如果请求的服务涉及Session的访问，比如调用request.getSession()或request.getSession(true)（其实此两句代码功能相同），如果请求中包含session id，则从ConcurrentHashMap<String, Session>中获取session，如果不包含session id，则会生成一个新的不冲突的session id。

比较详细的流程，可见org.apache.catalina.connector.Request.doGetSession(boolean create)：

而具体的创建Session的流程，可见org.apache.catalina.session.ManagerBase.createSession(String sessionId)：

session id如何进行传输

而session id是如何进行传输的呢？一般是通过Cookie随Request和Response在客户端和服务端间通讯。在Cookie禁用情况下，也可由URL参数的形式进行通讯。有哪几种方式，有个泛型作了列举javax.servlet.SessionTrackingMode。
Session通过session id进行识别用户，那么session id被外人获取从而伪装身份，此为Session却持，需要注意。

参考的文章

Tomcat中的Session小结