session的工作原理？

1、什么是 session
session 是浏览器和服务器会话过程中，服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid，浏览器在向服务器请求过程中传输 cookie 包含 sessionid ，服务器根据 sessionid 获取出会话中存储的信息。

由于 http 协议是无状态的，即 http 请求一次连接一次，数据传输完毕，连接就断开了，下次访问需要重新连接。

通过 cookie 中的 sessionid 字段和服务器端的 session 关联，可以确定会话的身份信息。
 

2、session 比 cookie 更安全
用户信息可以通过加密存储到 cookie，但是这样做的安全性很差，浏览器的 cookie 的容易被其他程序获取和篡改。使用 session 的意义在于 session 存储在服务器，相对安全性更高。
 

3、session 的生命周期

创建浏览器访问服务器的 servlet（jsp）时，服务器会自动创建 session，并把 sessionid 通过 cookie 返回到浏览器。

servlet 规范中，通过 request.getSession(true)  可以强制创建 session。