一、術(shù)語(yǔ)session

　在我的經(jīng)驗(yàn)里，session這個(gè)詞被濫用的程度大概僅次于transaction，更加有趣的是transaction與session在某些語(yǔ)境下的含義是相同的。

    session，中文經(jīng)常翻譯為會(huì)話，其本來(lái)的含義是指有始有終的一系列動(dòng)作/消息，比如打電話時(shí)從拿起電話撥號(hào)到掛斷電話這中間的一系列過(guò)程可以稱之為一個(gè) session.有時(shí)候我們可以看到這樣的話“在一個(gè)瀏覽器會(huì)話期間，……”，這里的會(huì)話一詞用的就是其本義，是指從一個(gè)瀏覽器窗口打開到關(guān)閉這個(gè)期間 ①。最混亂的是“用戶（客戶端）在一次會(huì)話期間”這樣一句話，它可能指用戶的一系列動(dòng)作（一般情況下是同某個(gè)具體目的相關(guān)的一系列動(dòng)作，比如從登錄到選購(gòu)商品到結(jié)賬登出這樣一個(gè)網(wǎng)上購(gòu)物的過(guò)程，有時(shí)候也被稱為一個(gè)transaction），然而有時(shí)候也可能僅僅是指一次連接，也有可能是指含義①，其中的差別只能靠上下文來(lái)推斷②。

    然而當(dāng)session一詞與網(wǎng)絡(luò)協(xié)議相關(guān)聯(lián)時(shí)，它又往往隱含了“面向連接”和/或“保持狀態(tài)”這樣兩個(gè)含義， “面向連接”指的是在通信雙方在通信之前要先建立一個(gè)通信的渠道，比如打電話，直到對(duì)方接了電話通信才能開始，與此相對(duì)的是寫信，在你把信發(fā)出去的時(shí)候你并不能確認(rèn)對(duì)方的地址是否正確，通信渠道不一定能建立，但對(duì)發(fā)信人來(lái)說(shuō)，通信已經(jīng)開始了。“保持狀態(tài)”則是指通信的一方能夠把一系列的消息關(guān)聯(lián)起來(lái)，使得消息之間可以互相依靠，比如一個(gè)服務(wù)員能夠認(rèn)出再次光臨的老顧客并且記得上次這個(gè)顧客還欠店里一塊錢。這一類的例子有“一個(gè)TCP session”或者 “一個(gè)POP3 session”③。

    而到了web服務(wù)器蓬勃發(fā)展的時(shí)代，session在web開發(fā)語(yǔ)境下的語(yǔ)義又有了新的擴(kuò)展，它的含義是指一類用來(lái)在客戶端與服務(wù)器之間保持狀態(tài)的解決方案④。有時(shí)候session也用來(lái)指這種解決方案的存儲(chǔ)結(jié)構(gòu)，如“把xxx保存在session 里”⑤。由于各種用于web開發(fā)的語(yǔ)言在一定程度上都提供了對(duì)這種解決方案的支持，所以在某種特定語(yǔ)言的語(yǔ)境下，session也被用來(lái)指代該語(yǔ)言的解決方案，比如經(jīng)常把java里提供的javax.servlet.http.HttpSession簡(jiǎn)稱為session⑥。

    鑒于這種混亂已不可改變，本文中session一詞的運(yùn)用也會(huì)根據(jù)上下文有不同的含義，請(qǐng)大家注重分辨。

    在本文中，使用中文“瀏覽器會(huì)話期間”來(lái)表達(dá)含義①，使用“session機(jī)制”來(lái)表達(dá)含義④，使用“session”表達(dá)含義⑤，使用具體的“HttpSession”來(lái)表達(dá)含義⑥

    二、HTTP協(xié)議與狀態(tài)

　保持HTTP 協(xié)議本身是無(wú)狀態(tài)的，這與HTTP協(xié)議本來(lái)的目的是相符的，客戶端只需要簡(jiǎn)單的向服務(wù)器請(qǐng)求下載某些文件，無(wú)論是客戶端還是服務(wù)器都沒有必要紀(jì)錄彼此過(guò)去的行為，每一次請(qǐng)求之間都是獨(dú)立的，好比一個(gè)顧客和一個(gè)自動(dòng)售貨機(jī)或者一個(gè)普通的（非會(huì)員制）大賣場(chǎng)之間的關(guān)系一樣。

    然而聰明（或者貪心？）的人們很快發(fā)現(xiàn)假如能夠提供一些按需生成的動(dòng)態(tài)信息會(huì)使web變得更加有用，就像給有線電視加上點(diǎn)播功能一樣。這種需求一方面迫使Html逐步添加了表單、腳本、DOM等客戶端行為，另一方面在服務(wù)器端則出現(xiàn)了CGI規(guī)范以響應(yīng)客戶端的動(dòng)態(tài)請(qǐng)求，作為傳輸載體的HTTP協(xié)議也添加了文件上載、 cookie這些特性。其中cookie的作用就是為了解決HTTP協(xié)議無(wú)狀態(tài)的缺陷所作出的努力。至于后來(lái)出現(xiàn)的session機(jī)制則是又一種在客戶端與服務(wù)器之間保持狀態(tài)的解決方案。

    讓我們用幾個(gè)例子來(lái)描述一下cookie和session機(jī)制之間的區(qū)別與聯(lián)系。筆者曾經(jīng)常去的一家咖啡店有喝5杯咖啡免費(fèi)贈(zèng)一杯咖啡的優(yōu)惠，然而一次性消費(fèi)5杯咖啡的機(jī)會(huì)微乎其微，這時(shí)就需要某種方式來(lái)紀(jì)錄某位顧客的消費(fèi)數(shù)量。想象一下其實(shí)也無(wú)外乎下面的幾種方案：1、該店的店員很厲害，能記住每位顧客的消費(fèi)數(shù)量，只要顧客一走進(jìn)咖啡店，店員就知道該怎么對(duì)待了。這種做法就是協(xié)議本身支持狀態(tài)。

    2、發(fā)給顧客一張卡片，上面記錄著消費(fèi)的數(shù)量，一般還有個(gè)有效期限。每次消費(fèi)時(shí)，假如顧客出示這張卡片，則此次消費(fèi)就會(huì)與以前或以后的消費(fèi)相聯(lián)系起來(lái)。這種做法就是在客戶端保持狀態(tài)。

    3、發(fā)給顧客一張會(huì)員卡，除了卡號(hào)之外什么信息也不紀(jì)錄，每次消費(fèi)時(shí)，假如顧客出示該卡片，則店員在店里的紀(jì)錄本上找到這個(gè)卡號(hào)對(duì)應(yīng)的紀(jì)錄添加一些消費(fèi)信息。這種做法就是在服務(wù)器端保持狀態(tài)。

    由于HTTP協(xié)議是無(wú)狀態(tài)的，而出于種種考慮也不希望使之成為有狀態(tài)的，因此，后面兩種方案就成為現(xiàn)實(shí)的選擇。具體來(lái)說(shuō)cookie機(jī)制采用的是在客戶端保持狀態(tài)的方案，而session機(jī)制采用的是在服務(wù)器端保持狀態(tài)的方案。同時(shí)我們也看到，由于采用服務(wù)器端保持狀態(tài)的方案在客戶端也需要保存一個(gè)標(biāo)識(shí)，所以session機(jī)制可能需要借助于cookie機(jī)制來(lái)達(dá)到保存標(biāo)識(shí)的目的，但實(shí)際上它還有其他選擇。

    三、理解cookie機(jī)制

　cookie機(jī)制的基本原理就如上面的例子一樣簡(jiǎn)單，但是還有幾個(gè)問(wèn)題需要解決：“會(huì)員卡”如何分發(fā)：“會(huì)員卡”的內(nèi)容；以及客戶如何使用“會(huì)員卡”。