1.session的建立時間

Sessinon在使用者訪問第一次訪問伺服器時建立,注意只有訪問JSP、Servlet等程式時才會建立,訪問HTML、IMAGE等靜態資源並不會建立Session.

2.session的失效時間

伺服器會把長時間沒有活動的Session從伺服器記憶體中清除，此時Session便失效（Tomcat中Session的預設失效時間為20分鐘）還有一種情況就是呼叫Session的invalidate方法也可以使當前session失效。

3.session的過期時間

session的過期時間是從session不活動的時候開始計算，如果session一直活動，session就總不會過期， 從該Session未被訪問,開始計時; 一旦Session被訪問,計時清0。

Session對瀏覽器的要求：

　雖然Session儲存在伺服器，對客戶端是透明的，它的正常執行仍然需要客戶端瀏覽器的支援。這是因為Session需要使用Cookie作為識別標誌。HTTP協議是無狀態的，Session不能依據HTTP連線來判斷是否為同一客戶，因此伺服器向客戶端瀏覽器傳送一個名為JSESSIONID的Cookie，它的值為該Session的id（也就是HttpSession.getId()的返回值）。Session依據該Cookie來識別是否為同一使用者。

　　該Cookie為伺服器自動生成的，它的maxAge屬性一般為-1，表示僅當前瀏覽器內有效，並且各瀏覽器視窗間不共享，關閉瀏覽器就會失效。因此同一機器的兩個瀏覽器視窗訪問伺服器時，會生成兩個不同的Session。但是由瀏覽器視窗內的連結、指令碼等開啟的新視窗（也就是說不是雙擊桌面瀏覽器圖示等開啟的視窗）除外。這類子視窗會共享父視窗的Cookie，因此會共享一個Session。

　　注意：新開的瀏覽器視窗會生成新的Session，但子視窗除外。子視窗會共用父視窗的Session。例如，在連結上右擊，在彈出的快捷選單中選擇"在新視窗中開啟"時，子視窗便可以訪問父視窗的Session。

如果客戶端瀏覽器將Cookie功能禁用，或者不支援Cookie怎麼辦？例如，絕大多數的手機瀏覽器都不支援Cookie。Java Web提供了另一種解決方案：URL地址重寫。

　　URL地址重寫是對客戶端不支援Cookie的解決方案。URL地址重寫的原理是將該使用者Session的id資訊重寫到URL地址中。伺服器能夠解析重寫後的URL獲取Session的id。這樣即使客戶端不支援Cookie，也可以使用Session來記錄使用者狀態。HttpServletResponse類提供了encodeURL(String url)實現URL地址重寫，該方法會自動判斷客戶端是否支援Cookie。如果客戶端支援Cookie，會將URL原封不動地輸出來。如果客戶端不支援Cookie，則會將使用者Session的id重寫到URL中。

　　注意：TOMCAT判斷客戶端瀏覽器是否支援Cookie的依據是請求中是否含有Cookie。儘管客戶端可能會支援Cookie，但是由於第一次請求時不會攜帶任何Cookie（因為並無任何Cookie可以攜帶），URL地址重寫後的地址中仍然會帶有jsessionid。當第二次訪問時伺服器已經在瀏覽器中寫入Cookie了，因此URL地址重寫後的地址中就不會帶有jsessionid了。