session和cookie

通常情况下，当我们关闭浏览器再重新打开后，我们就需要再次进行登陆（如果没有进行下次自动登录之类的设置）。
在Jav中（Session是通用的，这里以Java为例）有一种叫做Session机制（会话机制）来记录用户的登录信息。浏览器关闭之后，Session会被清除吗？
Session是一种服务器端的对象，保存在服务器中。 
每个Session 有一个唯一的Session id。 
Session的超时也是由服务器来控制。
我们一般都会把Session和Cookie放在一起来说。
Cookie分为内存中Cookie（也可以说是进程中Cookie）和硬盘中Cookie。
大部分的Session机制都使用进程中Cookie来保存Session id的，关闭浏览器后这个进程也就自动消失了，进程中的Cookie自然就消失了，那么Session id也跟着消失了，再次连接到服务器时也就无法找到原来的Session了。
其实服务器是不会知道浏览器关闭了没有（当然，你可以在关闭的时候去通知服务器，但一般都不会这样做），所以关闭浏览器时服务器是不会删除Session的，也正是这个原因服务器才会设置一个Session失效时间的，不然服务器早晚会被撑爆的。
等距离上一次使用该Session的时间达到设置的失效时间时，服务器就会认为客户端已停止活动，便会将相应的Session删除。
当然，我们可以在登陆时点击下次自动登录，比如说CSDN的“记住我一周”，或者我们的购物车信息可以在切换不同浏览器时依然可用。
这就要用到我们上文提到的另一种Cookie了——硬盘中Cookie，这时Session id将长期保存在硬盘上的Cookie中，直到失效为止。

如果浏览器禁用了cookie：就要用到session的 URL重写。

Session URL重写，保证在客户端禁用或不支持COOKIE时，仍然可以使用Session

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识（称为session id），如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。 保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于 SEEESIONID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。 经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如：

<form name=”"testform”" action=”"/xxx”"> <input type=”"hidden”" name=”"jsessionid”" value=”"ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764″”> <input type=”"text”"> </form>