httpsessionhttpsession 和cookie实现的会话跟踪有什么区别

httpsession是否线程安全，如不是该怎样优化

这个对象会被多次使用，也会被同一个用户的多个页面使用，所以他对于系统来说是线程不安全的。

httpSession的管理的优化。

? 不用保存太多的信息在HttpSession中 　　很多时候，存储一些对象在HttpSession中是有必要的，可以加快系统的开发，如网上商店系统会把购物车信息保存在该用户的Session中，但当存储大量的信息或是大的对象在会话中是有害的，特别是当系统中用户的访问量很大，对内存的需求就会很高。

　　具体开发时，在这两者之间应作好权衡。

? 清除Session 　　通常情况，当达到设定的超时时间时，同时有些Session没有了活动，服务器会释放这些没有活动的Session，.. 不过这种情况下，特别是多用户并访时，系统内存要维护多个的无效Session。

使得httpsession失效的三种方式是

（1）在主页面或者公共页面中加入：session.setmaxinactiveinterval(900);参数900单位是秒，即在没有活动15分钟后，session将失效。

这里要注意这个session设置的时间是根据服务器来计算的，而不是客户端。

所以如果是在调试程序，应该是修改服务器端时间来测试，而不是客户端。

（2）也是比较通用的设置session失效时间的方法，就是在项目的web.xml中设置 1 （3）直接在应用服务器中设置，如果是tomcat，可以在tomcat目录下conf/web.xml中找到元素，tomcat默认设置是30分钟，只要修改这个值就可以了。

HttpServletRequest和HttpSession的区别

session是在客户端请求服务器自动创建的具有唯一ID的对象。

其生存周期从用户第一次请求服务器开始，结束于session失效。

session失效有以下几种可能性：1、在服务器设定的时间内用户没有请求服务器。

2、服务器主动运行session.invalidate()方法使其失效。

request也是客户端请求服务器时服务器自动生成的对象，用于标志一次请求。

其生存周期是客户端请求开始，到服务器返回结果结束。

两者的区别1、记录的信息不同。

2、生存周期不同。

sesion的生存周期长于request。

因此，session常用于报存不同页面的共享信息，如登陆信息等。

HttpSession中保持的东西多大可能影响性能？

展开全部 最近在做一个系统的性能调优，说实话我没撒经验，用LoadRunner+JProfiler对执行时间和内存进行分析。

偶尔发现在执行了一段时间后，一个用户HttpSession可以达到3M还可能更高。

这当然和系统中把很多东西都丢到session中有关。

1个用户3M，100个用户就是300M，还是有点恐怖的。

问题补充：这个系统不是我设计的，我接手是为了性能调优。

目前用JProfiler来看，几乎什么东西都丢到session了，比如用户信息、权限表、查询条件、甚至查询结果集....我都有点疯了，我干了4年Java Web应用，从来不敢做的事情，这个系统都给做了。

httpsession 和cookie实现的会话跟踪有什么区别

具体来说 cookie 机制采用的是在客户端保持状态的方案， 而 session 机制采用的是在服务器端保持状态的方案。

同时我们也看到， 由于采 用服务器端保持状态的方案在客户端也需要保存一个标识，所以 session 机制可能需要借助于 cookie 机制来达到保存标识的目的， 但 实际上它还有其他选择。

cookie 机制。

正统的 cookie 分发是通过扩展 HTTP 协议来实现 的， 服务器通过在 HTTP 的响应头中加上一行特殊的指示以提示浏览 器按照指示生成相应的 cookie 。

然而纯粹的客户端脚本如 JavaScript 或者 VBScript 也可以生成 cookie 。

而 cookie 的使用是由浏览器按照 一定的原则在后台自动发送给服务器的。

浏览器检查所有存储的 cookie ，如果某个 cookie 所声明的作用范围大于等于将要请求的资 源所在的位置，则把该 cookie 附在请求资源的 HTTP 请求头上发送 给服务器。

cookie 的内容主要包括：名字，值，过期时间，路径和域。

路径 与域一起构成 cookie 的作用范围。

若不设置过期时间，则表示这个 cookie 的生命期为浏览器会话期间，关闭浏览器窗口， cookie 就消 失。

这种生命期为浏览器会话期的 cookie 被称为会话 cookie 。

会话 cookie 一般不存储在硬盘上而是保存在内存里， 当然这种行为并不是 规范规定的。

若设置了过期时间，浏览器就会把 cookie 保存到硬盘 上，关闭后再次打开浏览器，这些 cookie 仍然有效直到超过设定的 过期时间。

存储在硬盘上的 cookie 可以在不同的浏览器进程间共享， 为什么会有cookie呢,大家都知道，http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，session就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的，并不是写到硬盘上的，这也就是我们刚才看到的JSESSIONID，我们通常情是看不到JSESSIONID的，但是当我们把浏览器的cookie禁止后，web服务器会采用URL重写的方式传递Sessionid，我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。

明白了原理，我们就可以很容易的分辨出persistent cookies和session cookie的区别了，网上那些关于两者安全性的讨论也就一目了然了，session cookie针对某一次会话而言，会话结束session cookie也就随着消失了，而persistent cookie只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击，自然不如session cookie安全了。

通常session cookie是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的sessionid，这样我们信息共享的目的就达不到了，此时我们可以先把sessionid保存在persistent cookie中，然后在新窗口中读出来，就可以得到上一个窗口SessionID了，这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session tracking（会话跟踪）。

在一些web开发的书中，往往只是简单的把Session和cookie作为两种并列的http传送信息的方式，session cookies位于服务器端，persistent cookie位于客户端，可是session又是以cookie为基础的，明白的两者之间的联系和区别，我们就不难选择合适的技术来开发web service了