什么是 Session？Web 开发中 Session 的使用与注意事项

Ne0inhk

14 Mar 2026 — 5 min read

✅ 引言

在 Web 开发中，HTTP 协议是无状态的，这意味着每次请求之间没有关联。为了实现用户登录、购物车、权限控制等功能，服务器需要一种机制来“记住”用户。Session（会话） 就是解决这一问题的核心技术之一。

本文将深入讲解：

什么是 Session？
Session 的工作原理
在 Java Web 和 Spring Boot 中如何使用 Session
使用 Session 的最佳实践与常见注意事项
安全风险与应对策略

并提供完整的 Java + Spring Boot 示例代码，帮助你全面掌握 Session 的使用。

📌 一、什么是 Session？

1.1 基本定义

Session（会话）是服务器端用于保存用户状态的一种机制。当用户访问服务器时，服务器为其创建一个唯一的会话（Session），并在内存或存储中保存该用户的相关信息（如登录状态、用户ID等）。

每个 Session 都有一个唯一的 Session ID，通常通过 Cookie 发送给客户端，后续请求中客户端携带该 ID，服务器据此识别用户。想象 Session 就像超市给你的会员卡，第一次访问时服务器给你生成一张唯一的 “会员卡”（Session ID），以后每次访问你都出示这张卡，服务器就能通过卡片识别你的身份和之前的操作记录。

1.2 工作流程图解

1.3 Session 的工作原理

Session的工作流程可以分为四个阶段：

创建阶段：当用户第一次访问服务器时，服务器会生成一个唯一的Session ID，并创建对应的Session对象存储用户数据。
传输阶段：服务器通过Set-Cookie响应头，将Session ID发送给客户端，客户端会将其保存在Cookie中。
验证阶段：后续请求中，客户端会自动在Cookie中携带Session ID，服务器通过这个ID找到对应的Session对象。
销毁阶段：当用户登出或会话超时后，服务器会删除Session对象，客户端Cookie也会被清除或标记为过期。

📌 二、Session 的使用场景

用户登录状态保持
购物车信息存储
表单防重复提交
一次性验证码（如短信验证码）
权限控制与访问记录

📌 三、Java Web 中使用 Session（原生 Servlet）

3.1 获取或创建 Session

@WebServlet("/login")publicclassLoginServletextendsHttpServlet{@OverrideprotectedvoiddoPost(HttpServletRequest req,HttpServletResponse resp){String username = req.getParameter("username");// 获取或创建 SessionHttpSession session = req.getSession();// 存储用户信息 session.setAttribute("username", username); session.setAttribute("loginTime",newDate()); resp.getWriter().println("登录成功，欢迎 "+ username);}}

3.2 读取 Session 数据

@WebServlet("/profile")publicclassProfileServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequest req,HttpServletResponse resp){HttpSession session = req.getSession(false);// 不自动创建if(session !=null&& session.getAttribute("username")!=null){String username =(String) session.getAttribute("username");Date loginTime =(Date) session.getAttribute("loginTime"); resp.getWriter().println("用户："+ username +"，登录时间："+ loginTime);}else{ resp.setStatus(401); resp.getWriter().println("请先登录");}}}

3.3 注销 Session

@WebServlet("/logout")publicclassLogoutServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequest req,HttpServletResponse resp){HttpSession session = req.getSession(false);if(session !=null){ session.invalidate();// 销毁 Session} resp.getWriter().println("已退出登录");}}

📌 四、Spring Boot 中使用 Session

4.1 启用 Session 支持（默认已开启）

@RestControllerpublicclassUserController{@PostMapping("/login")publicStringlogin(@RequestParamString username,HttpServletRequest request){HttpSession session = request.getSession(); session.setAttribute("username", username);return"登录成功，用户："+ username;}@GetMapping("/info")publicStringgetUserInfo(HttpServletRequest request){HttpSession session = request.getSession(false);if(session !=null&& session.getAttribute("username")!=null){return"当前用户："+ session.getAttribute("username");}return"未登录";}@GetMapping("/logout")publicStringlogout(HttpServletRequest request){HttpSession session = request.getSession(false);if(session !=null){ session.invalidate();}return"已退出";}}

4.2 使用 `@SessionAttribute` 注解（更优雅）

@Controller@SessionAttributes("user")publicclassSessionController{@PostMapping("/login")publicStringlogin(@RequestParamString username,Model model){ model.addAttribute("user",newUser(username));return"redirect:/dashboard";}@GetMapping("/dashboard")publicStringdashboard(@SessionAttribute("user")User user,Model model){ model.addAttribute("user", user);return"dashboard";}}

📌 五、Session 的注意事项与最佳实践

5.1 安全性问题

风险	解决方案
Session 劫持	使用 HTTPS、设置 `Secure` 和 `HttpOnly` Cookie
Session 固定攻击	登录成功后调用 `session.invalidate()` 并创建新 Session
Session 泄露	敏感信息不要存入 Session（如密码）

// 在 Spring Boot 中配置 server.servlet.session.cookie.http-only=true server.servlet.session.cookie.secure=true server.servlet.session.cookie.same-site=strict

5.2 性能与可扩展性

内存占用：Session 默认存储在服务器内存中，大量用户会消耗内存。
集群部署问题：多台服务器时，Session 无法共享。

解决方案：

使用 Redis 存储 Session（推荐）
使用 Spring Session + Redis

<!-- pom.xml --><dependency><groupId>org.springframework.session</groupId><artifactId>spring-session-data-redis</artifactId></dependency>

# application.ymlspring:session:store-type: redis redis:host: localhost port:6379

5.3 Session 过期时间

# application.ymlserver:servlet:session:timeout: 30m # 30分钟

或在代码中设置：

session.setMaxInactiveInterval(1800);// 秒

✅ 总结

项目	说明
Session 本质	服务器端状态保持机制
核心原理	通过 Session ID 识别用户
优点	简单易用、数据安全（不暴露给客户端）
缺点	占用服务器资源、集群部署需共享
最佳实践	使用 Redis 存储、设置合理过期时间、防止 Session 劫持
替代方案	JWT（无状态认证）

📚 推荐

(第四篇)Spring AI 核心技术攻坚：多轮对话与记忆机制，打造有上下文的 AI

摘要在大模型应用开发中，“上下文丢失” 是多轮对话场景的核心痛点，直接导致 AI 回复割裂、用户体验拉胯。本文基于 Spring AI 生态，从对话记忆的本质出发，深度拆解短期 / 长期 / 摘要三类记忆的设计逻辑，对比 Redis 缓存与数据库持久化的技术选型方案，详解上下文压缩的关键技巧，并通过完整实战案例，手把手教你构建支持 100 轮对话的高可用智能客服。全程贯穿 “从内存存储到分布式记忆” 的进阶思路，既有底层原理剖析，又有可直接落地的代码实现，帮你彻底掌握 Spring AI 记忆机制的核心玩法。引言用过 Spring AI 开发对话应用的同学都懂：默认情况下 LLM 是 “鱼的记忆”—— 每次请求都是独立会话，无法记住上一轮的对话内容。比如智能客服场景中，用户先说明 “我要查询订单物流”，再提供 “订单号 12345”

OpenClaw龙虾图鉴：16只AI Agent选型指南

这里写目录标题 * 🦞 OpenClaw龙虾图鉴：16只AI Agent选型指南 * 🎯 快速选型指南 * 🥇 第一梯队：官方正统 * 1️⃣ OpenClaw - 原生官网框架 * 2️⃣ 🌙 KimiClaw - 云端大存储+Kimi K2.5 * 3️⃣ ⚡ MaxClaw - 成本杀手，10秒部署 * 🥈 第二梯队：极客专精 * 4️⃣ 🔥 NullClaw - 678KB极致疯子 * 5️⃣ 🦀 OpenFang - Rust生产级Agent OS * 6️⃣ 🐍 Nanobot - Python死忠粉 * 7️⃣ 🤖 NanoClaw - 多Agent协作狂魔 * 🥉 第三梯队：场景特化 * 🌱 第四梯队：新兴潜力股 * 1️⃣5️⃣ 🌱 EasyClaw -

Flutter 组件 hex_toolkit 的适配鸿蒙Harmony 实战 - 驾驭底层进制转换算力、实现鸿蒙端二进制协议审计与硬件级大数运算优化方案

欢迎加入开源鸿蒙跨平台社区：https://openharmonycrossplatform.ZEEKLOG.net Flutter 组件 hex_toolkit 的适配鸿蒙Harmony 实战 - 驾驭底层进制转换算力、实现鸿蒙端二进制协议审计与硬件级大数运算优化方案前言在鸿蒙（OpenHarmony）生态的工业物联、区块链安全以及底层驱动调试开发中，“字节（Byte）”的处理能力是决定系统吞吐量与安全性的核心红线。面对从硬件传感器上传的 16 进制（Hex）原始数据流，如果依然使用 Dart 原生的低效字符串拼凑，不仅会浪费大量的 CPU 时钟周期，更会因为频繁的内存分配（GC）导致实时任务的掉帧与反馈延迟。我们需要一种“位级别（Bit-level）”的操作艺术。 hex_toolkit 是一套专注于极致性能的进制转换利器。它不仅能实现字符串与字节数组之间的瞬间转化，更针对底层网络报文解析设计了大量的便捷方法。适配到鸿蒙平台后，它不仅能支撑起一个功能全备的低功耗蓝牙（BLE）数据包监听器，

龙虾尝鲜记（2）——装ubuntu（续）

装 ubuntu 还折腾了好几下，现在终于把系统能稳妥了。回头再来记一下，给看到想弄龙虾的同学提个醒，对应工作先做到前面，免得遇到问题解决不了，还没入门就出门了。一、系统版本的确定这个问题我个人以为要结合自己的实际情况：如果是在虚拟机上装，建议选择 2404 LTS，相对稳定；如果是在实体机上装，要根据自己的硬件来避坑，据某 AI 说对 N 卡的支持不是很好，有特定的版本要求。还有就是是否强烈需要蓝牙、指纹、隐藏网络、摄像头等方面的功能。因为装（实体机） 2404 2404 就是因为驱动（MX250）有些问题，折腾了好几下实在懒得折腾就问了下 AI，它给推荐了 Pop_OS 2404，结果掉进更大的坑里：蓝牙键盘连上了打不出字来、指纹不能用（到现在也不能用，因为指纹不太关痛痒，没修复好就暂时作罢）、无法连接到隐藏网络…… 指纹不能用问题不大，