什么是 Session？Web 开发中 Session 的使用与注意事项

优质文章学习记录

12 Apr 2026 — 5 min read

✅ 引言

在 Web 开发中，HTTP 协议是无状态的，这意味着每次请求之间没有关联。为了实现用户登录、购物车、权限控制等功能，服务器需要一种机制来“记住”用户。Session（会话） 就是解决这一问题的核心技术之一。

本文将深入讲解：

什么是 Session？
Session 的工作原理
在 Java Web 和 Spring Boot 中如何使用 Session
使用 Session 的最佳实践与常见注意事项
安全风险与应对策略

并提供完整的 Java + Spring Boot 示例代码，帮助你全面掌握 Session 的使用。

📌 一、什么是 Session？

1.1 基本定义

Session（会话）是服务器端用于保存用户状态的一种机制。当用户访问服务器时，服务器为其创建一个唯一的会话（Session），并在内存或存储中保存该用户的相关信息（如登录状态、用户ID等）。

每个 Session 都有一个唯一的 Session ID，通常通过 Cookie 发送给客户端，后续请求中客户端携带该 ID，服务器据此识别用户。想象 Session 就像超市给你的会员卡，第一次访问时服务器给你生成一张唯一的 “会员卡”（Session ID），以后每次访问你都出示这张卡，服务器就能通过卡片识别你的身份和之前的操作记录。

1.2 工作流程图解

1.3 Session 的工作原理

Session的工作流程可以分为四个阶段：

创建阶段：当用户第一次访问服务器时，服务器会生成一个唯一的Session ID，并创建对应的Session对象存储用户数据。
传输阶段：服务器通过Set-Cookie响应头，将Session ID发送给客户端，客户端会将其保存在Cookie中。
验证阶段：后续请求中，客户端会自动在Cookie中携带Session ID，服务器通过这个ID找到对应的Session对象。
销毁阶段：当用户登出或会话超时后，服务器会删除Session对象，客户端Cookie也会被清除或标记为过期。

📌 二、Session 的使用场景

用户登录状态保持
购物车信息存储
表单防重复提交
一次性验证码（如短信验证码）
权限控制与访问记录

📌 三、Java Web 中使用 Session（原生 Servlet）

3.1 获取或创建 Session

@WebServlet("/login")publicclassLoginServletextendsHttpServlet{@OverrideprotectedvoiddoPost(HttpServletRequest req,HttpServletResponse resp){String username = req.getParameter("username");// 获取或创建 SessionHttpSession session = req.getSession();// 存储用户信息 session.setAttribute("username", username); session.setAttribute("loginTime",newDate()); resp.getWriter().println("登录成功，欢迎 "+ username);}}

3.2 读取 Session 数据

@WebServlet("/profile")publicclassProfileServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequest req,HttpServletResponse resp){HttpSession session = req.getSession(false);// 不自动创建if(session !=null&& session.getAttribute("username")!=null){String username =(String) session.getAttribute("username");Date loginTime =(Date) session.getAttribute("loginTime"); resp.getWriter().println("用户："+ username +"，登录时间："+ loginTime);}else{ resp.setStatus(401); resp.getWriter().println("请先登录");}}}

3.3 注销 Session

@WebServlet("/logout")publicclassLogoutServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequest req,HttpServletResponse resp){HttpSession session = req.getSession(false);if(session !=null){ session.invalidate();// 销毁 Session} resp.getWriter().println("已退出登录");}}

📌 四、Spring Boot 中使用 Session

4.1 启用 Session 支持（默认已开启）

@RestControllerpublicclassUserController{@PostMapping("/login")publicStringlogin(@RequestParamString username,HttpServletRequest request){HttpSession session = request.getSession(); session.setAttribute("username", username);return"登录成功，用户："+ username;}@GetMapping("/info")publicStringgetUserInfo(HttpServletRequest request){HttpSession session = request.getSession(false);if(session !=null&& session.getAttribute("username")!=null){return"当前用户："+ session.getAttribute("username");}return"未登录";}@GetMapping("/logout")publicStringlogout(HttpServletRequest request){HttpSession session = request.getSession(false);if(session !=null){ session.invalidate();}return"已退出";}}

4.2 使用 `@SessionAttribute` 注解（更优雅）

@Controller@SessionAttributes("user")publicclassSessionController{@PostMapping("/login")publicStringlogin(@RequestParamString username,Model model){ model.addAttribute("user",newUser(username));return"redirect:/dashboard";}@GetMapping("/dashboard")publicStringdashboard(@SessionAttribute("user")User user,Model model){ model.addAttribute("user", user);return"dashboard";}}

📌 五、Session 的注意事项与最佳实践

5.1 安全性问题

风险	解决方案
Session 劫持	使用 HTTPS、设置 `Secure` 和 `HttpOnly` Cookie
Session 固定攻击	登录成功后调用 `session.invalidate()` 并创建新 Session
Session 泄露	敏感信息不要存入 Session（如密码）

// 在 Spring Boot 中配置 server.servlet.session.cookie.http-only=true server.servlet.session.cookie.secure=true server.servlet.session.cookie.same-site=strict

5.2 性能与可扩展性

内存占用：Session 默认存储在服务器内存中，大量用户会消耗内存。
集群部署问题：多台服务器时，Session 无法共享。

解决方案：

使用 Redis 存储 Session（推荐）
使用 Spring Session + Redis

<!-- pom.xml --><dependency><groupId>org.springframework.session</groupId><artifactId>spring-session-data-redis</artifactId></dependency>

# application.ymlspring:session:store-type: redis redis:host: localhost port:6379

5.3 Session 过期时间

# application.ymlserver:servlet:session:timeout: 30m # 30分钟

或在代码中设置：

session.setMaxInactiveInterval(1800);// 秒

✅ 总结

项目	说明
Session 本质	服务器端状态保持机制
核心原理	通过 Session ID 识别用户
优点	简单易用、数据安全（不暴露给客户端）
缺点	占用服务器资源、集群部署需共享
最佳实践	使用 Redis 存储、设置合理过期时间、防止 Session 劫持
替代方案	JWT（无状态认证）

📚 推荐

GLM-4.6V-Flash-WEB Web界面使用指南，拖图就出结果

GLM-4.6V-Flash-WEB Web界面使用指南，拖图就出结果你不需要配置环境、不用写一行推理代码、甚至不用打开终端——只要把一张截图拖进浏览器窗口，几秒钟后，它就能告诉你图里写了什么、画了什么、哪里有问题。这不是未来预告，而是你现在就能在本地跑起来的真实体验。 GLM-4.6V-Flash-WEB 是智谱AI最新开源的轻量级视觉语言模型，专为Web端实时交互而生。它不像某些“实验室模型”那样只存在于论文和Benchmark表格里，而是真正做到了：部署快、启动快、响应快、上手更快。一块RTX 3090，一个浏览器，一次拖拽，结果即刻呈现。本文不讲训练原理，不列参数表格，不堆技术术语。我们只聚焦一件事：怎么用好它的Web界面？从零开始，到稳定产出，每一步都清晰可操作。 1. 为什么说“拖图就出结果”不是宣传话术？很多多模态模型标榜“支持图文理解”，但实际用起来才发现：要装依赖、改路径、调精度、修CUDA版本、

前端防范 XSS（跨站脚本攻击）

目录一、防范措施 1.layui util 核心转义的特殊字符示例 2.js-xss.js库安装 1. Node.js 环境（npm/yarn） 2. 浏览器环境核心 API 基础使用 1. 基础过滤（默认规则） 2. 自定义过滤规则（1）允许特定标签（2）允许特定属性（3）自定义标签处理（4）自定义属性处理（5）转义特定字符常见场景示例 1. 过滤用户输入的评论内容 2. 允许特定富文本标签（如富文本编辑器内容）注意事项更多配置 XSS（跨站脚本攻击）是一种常见的网络攻击手段，它允许攻击者将恶意脚本注入到其他用户的浏览器中。

详细教程：如何从前端查看调用接口、传参及返回结果（附带图片案例）

目录 1. 打开浏览器开发者工具 2. 使用 Network 面板 3. 查看具体的API请求 a. Headers b. Payload c. Response d. Preview e. Timing 4. 实际操作步骤 5. 常见问题及解决方法 a. 无法看到API请求 b. 请求失败 c. 跨域问题（CORS）作为一名后端工程师，理解前端如何调用接口、传递参数以及接收返回值是非常重要的。下面将详细介绍如何通过浏览器开发者工具（F12）查看和分析这些信息，并附带图片案例帮助你更好地理解。 1. 打开浏览器开发者工具按下 F12 或右键点击页面选择“检查”可以打开浏览器的开发者工具。常用的浏览器如Chrome、Firefox等都内置了开发者工具。下面是我选择我的一篇文章，打开开发者工具进行演示。 2. 使用

Cursor+Codex隐藏技巧：用截图秒修前端Bug的保姆级教程（React/Chakra UI案例）

Cursor+Codex隐藏技巧：用截图秒修前端Bug的保姆级教程（React/Chakra UI案例）前端开发中最令人头疼的莫过于那些难以定位的UI问题——元素错位、样式冲突、响应式失效...传统调试方式往往需要反复修改代码、刷新页面、检查元素。现在，通过Cursor编辑器集成的Codex功能，你可以直接用截图交互快速定位和修复这些问题。本文将带你从零开始，掌握这套革命性的调试工作流。 1. 环境准备与基础配置在开始之前，确保你已经具备以下环境： * Cursor编辑器最新版（v2.5+） * Node.js 18.x及以上版本 * React 18项目（本文以Chakra UI 2.x为例）首先在Cursor中安装Codex插件： 1. 点击左侧扩展图标 2. 搜索"Codex"并安装 3. 登录你的OpenAI账户（需要ChatGPT Plus订阅）关键配置项： // 在项目根目录创建.