简介Web开发中的Session

基本上是对Stackoverflow上一个[问题][Session Stackoverflow]的翻译。简短明了，值得一看。
[Session Stackoverflow]:http://stackoverflow.com/questions/3804209/what-are-sessions-how-do-they-work "what-are-sessions-how-do-they-work"

在动态网站开发中，因为Http是无状态的，不能将本次请求和其它请求关联起来，所以你希望能够在（比如cookie和url参数中的数据）多次Http请求之间存储用户数据。但是，你不希望这些数据能够在客户端被读取或者编辑，因为你不会希望这些数据不经过你的服务器端代码而被处理。比如，cookie和url参数中的数据是暴露在客户端的，任何人都可读，可操作。

这个问题的解决方案就是将数据存储在服务器端，然后给它一个id，让客户端只知道这个id，并且只在每次请求之间传递这个id。Session就是这样实现的。当然，你也可以通过其它的方案解决上述问题。比如将数据存储在客户端，但是要加密，并将密钥存储在服务器端。

当然，也还要有其它方面考虑，比如你不希望有人去劫持其他用户的Session，可以设置Session的失效期。

在网站登录认证通过之后，用户的id（或者是其它唯一的字段）被存储在服务器端的Session数据中。然后，每次收到从客户端来的Http请求，Session id（客户端给出的）都会将你指向存储在服务器端正确的Session数据，其中包含着用户id。通过这种方式，当前登录的是哪个用户了。