session機(jī)制是一種服務(wù)器端的機(jī)制，服務(wù)器使用一種類似于散列表的結(jié)構(gòu)（也可能就是使用散列表）來保存信息。
當(dāng)程序需要為某個(gè)客戶端的請(qǐng)求創(chuàng)建一個(gè)session的時(shí)候，服務(wù)器首先檢查這個(gè)客戶端的請(qǐng)求里是否已包含了一個(gè)session標(biāo)識(shí)-稱為sessionid，如果已包含一個(gè)sessionid則說明以前已經(jīng)為此客戶端創(chuàng)建過session，服務(wù)器就按照sessionid把這個(gè)session檢索出來使用（如果檢索不到，可能會(huì)新建一個(gè)），如果客戶端請(qǐng)求不包含sessionid，則為此客戶端創(chuàng)建一個(gè)session并且生成一個(gè)與此session相關(guān)聯(lián)的sessionid，sessionid的值應(yīng)該是一個(gè)既不會(huì)重復(fù)，又不容易被找到規(guī)律以仿造的字符串，這個(gè)sessionid將被在本次響應(yīng)中返回給客戶端保存。
保存這個(gè)sessionid的方式可以采用cookie，這樣在交互過程中瀏覽器可以自動(dòng)的按照規(guī)則把這個(gè)標(biāo)識(shí)發(fā)揮給服務(wù)器。一般這個(gè)cookie的名字都是類似于SEEESIONID，而。比如weblogic對(duì)于web應(yīng)用程序生成的cookie，JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764，它的名字就是JSESSIONID。
由于cookie可以被人為的禁止，必須有其他機(jī)制以便在cookie被禁止時(shí)仍然能夠把sessionid傳遞回服務(wù)器。經(jīng)常被使用的一種技術(shù)叫做URL重寫，就是把sessionid直接附加在URL路徑的后面，附加方式也有兩種，一種是作為URL路徑的附加信息，表現(xiàn)形式為http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一種是作為查詢字符串附加在URL后面，表現(xiàn)形式為http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
這兩種方式對(duì)于用戶來說是沒有區(qū)別的，只是服務(wù)器在解析的時(shí)候處理的方式不同，采用第一種方式也有利于把sessionid的信息和正常程序參數(shù)區(qū)分開來。
為了在整個(gè)交互過程中始終保持狀態(tài)，就必須在每個(gè)客戶端可能請(qǐng)求的路徑后面都包含這個(gè)sessionid。
另一種技術(shù)叫做表單隱藏字段。就是服務(wù)器會(huì)自動(dòng)修改表單，添加一個(gè)隱藏字段，以便在表單提交時(shí)能夠把sessionid傳遞回服務(wù)器。比如下面的表單
<formname="testform"action="/xxx">
<inputtype="text">
</form>
在被傳遞給客戶端之前將被改寫成
<formname="testform"action="/xxx">
<inputtype="hidden"name="jsessionid"value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<inputtype="text">
</form>
這種技術(shù)現(xiàn)在已較少應(yīng)用，筆者接觸過的很古老的iPlanet6(SunONE應(yīng)用服務(wù)器的前身)就使用了這種技術(shù)。
實(shí)際上這種技術(shù)可以簡(jiǎn)單的用對(duì)action應(yīng)用URL重寫來代替。
在談?wù)搒ession機(jī)制的時(shí)候，常常聽到這樣一種誤解“只要關(guān)閉瀏覽器，session就消失了”。其實(shí)可以想象一下會(huì)員卡的例子，除非顧客主動(dòng)對(duì)店家提出銷卡，否則店家絕對(duì)不會(huì)輕易刪除顧客的資料。對(duì)session來說也是一樣的，除非程序通知服務(wù)器刪除一個(gè)session，否則服務(wù)器會(huì)一直保留，程序一般都是在用戶做logoff的時(shí)候發(fā)個(gè)指令去刪除session。然而瀏覽器從來不會(huì)主動(dòng)在關(guān)閉之前通知服務(wù)器它將要關(guān)閉，因此服務(wù)器根本不會(huì)有機(jī)會(huì)知道瀏覽器已經(jīng)關(guān)閉，之所以會(huì)有這種錯(cuò)覺，是大部分session機(jī)制都使用會(huì)話cookie來保存sessionid，而關(guān)閉瀏覽器后這個(gè)sessionid就消失了，再次連接服務(wù)器時(shí)也就無法找到原來的session。如果服務(wù)器設(shè)置的cookie被保存到硬盤上，或者使用某種手段改寫瀏覽器發(fā)出的HTTP請(qǐng)求頭，把原來的sessionid發(fā)送給服務(wù)器，則再次打開瀏覽器仍然能夠找到原來的session。 [Page]
恰恰是由于關(guān)閉瀏覽器不會(huì)導(dǎo)致session被刪除，迫使服務(wù)器為seesion設(shè)置了一個(gè)失效時(shí)間，當(dāng)距離客戶端上一次使用session的時(shí)間超過這個(gè)失效時(shí)間時(shí)，服務(wù)器就可以認(rèn)為客戶端已經(jīng)停止了活動(dòng)，才會(huì)把session刪除以節(jié)省存儲(chǔ)空間。