Web服务器跟踪客户状态通常有四种方法：
建立含有跟踪数据的隐藏字段；
重写包含额外参数的url；
使用持续的cookie；
使用Servlet API中的Session（会话机制）

Session用于跟踪客户的状态。Session指的是在一段时间内，单个客户与Web服务器的一连串相关的交互过程，在一个Session中,客户可能会多次请求访问同一个网页，也可能请求访问各种不同的服务器资源。

即：在会话中可能访问a.jsp，也可能访问servlet等。。
例子1：在电子邮件应用中，从一个客户登录到电子邮件系统开始，经过收信，写信，发信等一系列操作，直至最后退出邮件系统，整个过程都是一个Session。

例子2：在购物网站应用中，从一个客户开始购物，到最后结账，整个过程为一个Session。

Session的运行机制

1、当一个session开始时，Servlet容器将创建一个HttpServlet对象，在HttpServlet对象中可以存放客户的状态信息。（例如购物车）；
2、Servlet容器为HttpSession分配一个唯一的标识符，称为Session ID。Servlet容器将Session ID作为Cookie保存在客户的浏览器中。
3、每次客户发出Http请求时，Servlet容器可以从HttpServletRequest对象中读取Session ID ，然后根据Session ID找到相应的HttpServlet对象，从而获取客户额状态信息。

图片.png

HttpSession接口的一些常用方法：
session是httpSession的实例

String getId（）: 返回的字符串由Servlet容器分配的。

invalidate（）：使当前的Session失效，Servlet容器会释放httpServlet对象占用的资源。

getAttribute( String name, Object value)和setAttribute（String name）;

boolean isNew()： 特别地，如果客户端禁用掉cookie，则服务器会new 一个新的sessionid。

void setMaxInactiveInterval（int interval）：以秒为单位，设置session处于不活动状态的最大时限，负数为一直存活。

Session的生命周期：
1、当客户第一次访问web应用中支持Session的某个网页时，就会开始一个新的session。
2、接下来当客户浏览这个web应用的不同网页时，始终处于同一个session中。
3、默认情况下，jsp是支持session的，也可以通过以下语句显式声明和支持session
<@page session = "true">

以下情况Session将结束生命后期，Servlet容器将会将Session所占用的资源放掉：
1、Session过期
2、服务器端调用的HttpSession的invalidate（）方法

为什么说浏览器关闭后，我们就会关闭一个session呢？
因为session存放在cookie中，会话cookie不是存放在硬盘中，存放在cookie中，关闭了浏览器，cookie也被关闭，无法通过cookied访问原来的那个session，所以服务器会新开一个session。原来那个session在生命周期到后失效。

Session过期指的当session开始时，在一段时间内客户没有好web服务器交互，这个session会失效，HttpSession的setMaxInactiveInteral（）方法可以设置允许Session保持不活动状态的时间（以秒为单位）， 如果超过这一时间，Session就会失效。

实例：模拟一个登录系统；
业务逻辑：如果登录成果则添加user到session里面，且转到index.jsp,如果是管理员则可以看见修改功能。不是的话只能看见查询功能。服务器端也做相应的处理，如果没有登录的用户就转到登录界面。
如果登录失败就转回登录界面并且把填写的信息返回。

1、login.jsp

    <form action="/Email/userLoginServlet" method="post">
        用户名：<input type="text" name="username" value="<%=null == request.getAttribute("username") ? "":request.getAttribute("username")%>"><br>
        密码：<input type="password" name="password"><br>
        权限：
        <select name="authority">
        <option value="1" <%="1".equals(request.getAttribute("authority"))? "selected":""%>>普通用户</option>
        <option value="2" <%="2".equals(request.getAttribute("authority"))? "selected":""%>>管理员</option>
        </select><br>
        <input type="submit" value="提交">
        </form>

2、userLoginServlet.servlet

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = "";
        String password = "";
        String authority = "";
        HttpSession session = request.getSession();
        
        username = request.getParameter("username");
        password = request.getParameter("password");
        authority = request.getParameter("authority");
        
        if ( "1".equals(authority) )
        {
            if( "zhangsan".equals(username) && "123456".equals(password) ) 
            {
                addSession(username, password, authority, session);
            }   
            else {
                userError(request, response, username, authority);
                }
            
            }
        else if( "2".equals(authority) ) 
        {
                    if ("lisi".equals(username) && "654321".equals(password) )  
                    {
                        addSession(username, password, authority, session);
                    }
                    else {
                        userError(request, response, username, authority);
                    }
        }
        else 
        {
            userError(request, response, username, authority);
        }
        
        RequestDispatcher rd = request.getRequestDispatcher("sesion/index.jsp");
        rd.forward(request, response);
    }

    private void userError(HttpServletRequest request, HttpServletResponse response, String username, String authority)
            throws ServletException, IOException {
        request.setAttribute("username", username); 
        request.setAttribute("authority", authority);
        RequestDispatcher rd = request.getRequestDispatcher("sesion/login.jsp");
        rd.forward(request, response);
    }

    private void addSession(String username, String password, String authority,HttpSession session) {
        User user = new User();
        user.username = username;
        user.password = password;
        user.authority = authority;
        
        session.setAttribute("user", user);
    }
    
    private void userError(String username,String authority,HttpServletResponse response) {
        try {
            response.sendRedirect("http://localhost:8080/Email/sesion/login.jsp?error=true&username="+username+"autority="+authority);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

}

3、index.jsp

<body>
        <% User user = new User();
           user = (User)session.getAttribute("user");
           if( null == user ) {
               %>
               <jsp:forward page="sesion/login.jsp"/>
          <% } %> 
        <table>
            <tr><td><a href="/Email/QueryServlet">查询</a></td>
            <%if( "2".equals(user.getAuthority()))  {
            %>
            <td><a href="/Email/UpdateServlet">修改</a></td>
            <%} %>
            </tr>
        </table>
    </body>

3、（queyServlet省略、updateServlet）

User user = new User();
        HttpSession session = request.getSession();
        user = (User)session.getAttribute("user");
        if( null == user ) {
            RequestDispatcher rd = request.getRequestDispatcher("sesion/login.jsp");
            rd.forward(request, response);
            return;
        }
        
        if( "1".equals(user.authority) ) {
            System.out.println("没有权限");
        }
        System.out.println("成功");
    }