服务器session，Tomcat有自己的session维护机制，apache有自己的session维护机制

Posted 2020-09-21 THISISPAN

1.SESSION一般不是你说的这种工作方式，你打开一个浏览器，再打开一个，请求同一个网址，然后其中一个登陆，另外一个绝对不会也登陆。SESSION和浏览器本身这个程序就是挂钩的，一般不通过IP和端口去绑定（如果是端口和IP的话，浏览器关闭了SESSION也不一定会失效，显然有安全问题，这个是因为TCP协议的一些问题，很容易被利用到）。

当浏览器和服务器联系的时候，服务器会发一个SESSIONID给浏览器，然后浏览器记录这个SESSIONID，每次访问的时候将ID附带过去。假如你想浏览器关闭后重新打开仍然可以获取，有两个方面问题需要解决，1浏览器如何找到之前的SESSIONID，这个需要一个文件去记录，比如COOKIE，2服务器不能立即销毁SESSION，这个我记得在APACHE上可以设置。

2.

SESSION那个时间很好设置噻，不同的应用程序服务器(JAVA,php)都有很方便设置的方法，百度一搜就出来了。我还真没听过谁设置SESSION ID的，一般都是服务器自己管理，这个本来为了安全分配的时候就是随机产生的，或者是根据对方连接的信息产生的，难道你打算做一个SESSION ID POOL来存SESSION ID？