session什么时候创建

什么是Session

Session是在服务器端为用户创建的一个独立会话，用于存储用户在Web应用程序中的信息，当用户访问一个Web应用程序时，服务器会为该用户创建一个Session对象，并将其与用户的浏览器关联起来，通过Session对象，服务器可以在用户的多次请求之间存储和检索数据，从而实现用户登录状态的保持、个性化设置等功能。

Session什么时候创建

1、用户首次访问Web应用程序时

当用户首次访问Web应用程序时，服务器会为该用户创建一个新的Session对象，此时，Session对象中没有任何数据，因此用户无法享受到任何基于Session的功能，为了实现用户登录功能，通常需要在服务器端验证用户的用户名和密码，如果验证成功，服务器会在Session对象中存储用户的相关信息(如用户ID、登录时间等),并将Session对象与用户的浏览器关联起来，这样，当用户再次访问Web应用程序时，浏览器就会自动携带Session对象，从而实现用户登录状态的保持。

2、用户进行非首次访问时

当用户进行非首次访问Web应用程序时，浏览器会自动携带之前创建的Session对象，服务器可以通过检查Session对象中的数据来判断用户是否已经登录，如果Session对象中包含了用户的相关信息，说明用户已经登录，服务器可以直接使用这些数据来响应用户的请求；如果Session对象中没有用户的相关信息，说明用户尚未登录，服务器需要引导用户进行登录操作。

3、服务器重启或关闭时

当Web应用程序所在的服务器重启或关闭时，由于浏览器无法继续与服务器通信，所以之前创建的Session对象会失效，为了避免因服务器故障导致的数据丢失，通常需要在服务器端实现一种机制，使得在服务器重启或关闭后，可以自动保存并恢复Session对象中的数据，这种机制可以通过数据库或其他持久化存储方式来实现。

如何控制Session的生命周期

1、设置Session的超时时间

为了防止恶意用户长时间占用某个Session资源，导致其他用户的请求被阻塞或延迟，通常需要为每个Session设置一个合理的超时时间，当Session超过这个时间没有被访问时，服务器会自动销毁该Session对象，释放其占用的资源，在Java Web应用程序中，可以通过HttpSession对象的setMaxInactiveInterval()方法来设置Session的超时时间，单位为秒。

session.setMaxInactiveInterval(60 * 30); // 设置Session超时时间为30分钟

2、使用Cookie来管理Session

除了通过超时时间来控制Session的生命周期外，还可以使用Cookie来管理Session，当用户首次访问Web应用程序时，服务器会创建一个新的Session对象，并将其与用户的浏览器关联起来，服务器会将包含Session信息的Cookie发送给用户的浏览器，当浏览器接收到这个Cookie后，会将其存储在本地，并在之后的用户请求中自动携带该Cookie，这样，即使服务器关闭或重启，只要用户的浏览器仍然存在该Cookie,就可以继续使用之前的Session对象，需要注意的是，由于Cookie是存储在客户端的，所以需要确保Cookie的安全传输和存储，以防止被恶意篡改或窃取。

相关问题与解答

1、如何在使用Cookie管理Session时避免跨站请求伪造(CSRF)攻击？

为了避免在使用Cookie管理Session时受到跨站请求伪造(CSRF)攻击的影响，可以在发送包含Cookie的响应头之前对请求进行验证，具体做法是在表单中添加一个隐藏字段，用于存储CSRF令牌，当用户提交表单时，服务器会验证该令牌是否有效，只有有效的令牌才会被接受并生成包含Cookie的响应头，这样可以确保只有合法的用户才能修改Cookie中的Session信息，从而降低CSRF攻击的风险。