session其实分为服务器端Session和客户端Session。
当用户首次与Web服务器建立连接的时候,服务器会给用户分发一个sessionid作为标识。用户每次提交页面,浏览器都会把这个sessionid包含在 HTTP头中提交给Web服务器,这样Web服务器就能区分当前请求页面的是哪一个客户端。这个sessionid就是保存在客户端的,属于客户端Session。
tomcat生成的sessionid叫做jsessionid。
在访问tomcat服务器HttpServletRequest的getSession(true)的时候会创建session,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid。
服务端session,tomcat的StandardManager类将session存储在内存中,也可以持久化到文件,数据库,缓存等。
客户端只保存sessionid到cookie中,而不会保存session,session销毁只能通过invalidate或超时,关掉浏览器并不会关闭session。当用户禁用了cookie的话,服务器端就得不到sessionid。这时我们可以使用url的方式或隐藏域的方式来存储客户端Session。
spring-session
传统模式中,当request进入web容器,根据reqest获取session时,如果web容器中存在session则返回,如果不存在,web容器则创建一个session。然后返回response时,将sessonId作为response的head一并返回给客户端或者浏览器。
另一种思路是将session从web容器中抽出来,形成独立的模块,以便分布式应用或者集群都能共享。
spring-session的核心思想在于此:将session从web容器中剥离,存储在独立的存储服务器中。目前支持多种形式的session存储器:Redis、Database、MogonDB等。session的管理责任委托给spring-session承担。当request进入web容器,根据request获取session时,由spring-session负责存存储器中获取session,如果存在则返回,如果不存在则创建并持久化至存储器中。
二者区别如下图:
