会话状态护持，JSESSIONID，COOKIE之间的关系

在服务器端，我们用惯了session.setAttribute("",userInfo)这样的一行代码，估计你很少想到：服务器与浏览器之间是如何保持会话状态的。好了，先引用一些文章的精彩片段：
http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x。

这跟一般的url基本一样，只有一个地方有区别，那就是“;jessionid=xxxxxxxx”。这个参数有时候有，有时候又没有，说它是参数可又跟一般传递的参数不同，它是紧跟在url后面用分号来分隔的 ，用一般的request.getParameter()方法还取不到jsessionid 。
启动你的tomcat，打开FireFox(爱得不得了，一定要安装FireBug)，输入localhost就行，打开firebug，点网络，你会看到，浏览器与服务器会话的信息，给出浏览器
(1)第一次请求服务器：
浏览器的请求头信息

服务器响应头信息

(2)第二次请求服务器：
浏览器的请求头信息

服务器响应头信息

重复第三次，每四次...第N次请求服务器，浏览器和服务器的请求头信息都是与第二次请求服务器是一样的。

(3)但是，如果你在服务器端加入如下一行代码：
Log.info("SessionId:" + request.getSession().getId());
你会看到，当你第一次请求服务器时，就会默认有一个新的session被创建，而且在session的有效时间范围内，这个输出值是不会变的，否则，服务器会重新创建一个session，自然，sessionId也就不同了，这段代码的输出自然也会不同了。

(4)你必须注意这一点：你用的是浏览器与服务器通信：
有一些事情是浏览器帮助我们去做了，那就是：当你第一次与服务器通信时，浏览器会保存服务器返回的 Set-Cookie 这个健的值( JSESSIONID=64D21B4D69DFB3041B6375C1932BD6CB )，只要你不关闭浏览器(彻底关闭，关闭选项卡不算)，浏览器会从第二次向服务器发出请求开始，一直带上这个键值对，发给服务器。服务器就会知道，这是同一个人(同一个会话)发起的请求。

(5)我们再注意一下：request.setAttribute("sysuser",userInfo)这句话：
当你第一次请求服务器时，这句代码会根据服务器默认产生的session得到ID，并与sysuser=userInfo这个键值对挂上钩(当然，userInfo可以是任何对象)，保证唯一关联，检测用户是否登录就是这样实现的。
我一定要声明一点：保持一个会话与用户是否登录是没有任何关系的。

?

?

转自：http://www.g4studio.org/forum.php?mod=viewthread&tid=275