什么是 Session？Web 开发中 Session 的使用与注意事项

Ne0inhk

23 Mar 2026 — 5 min read

✅ 引言

在 Web 开发中，HTTP 协议是无状态的，这意味着每次请求之间没有关联。为了实现用户登录、购物车、权限控制等功能，服务器需要一种机制来“记住”用户。Session（会话） 就是解决这一问题的核心技术之一。

本文将深入讲解：

什么是 Session？
Session 的工作原理
在 Java Web 和 Spring Boot 中如何使用 Session
使用 Session 的最佳实践与常见注意事项
安全风险与应对策略

并提供完整的 Java + Spring Boot 示例代码，帮助你全面掌握 Session 的使用。

📌 一、什么是 Session？

1.1 基本定义

Session（会话）是服务器端用于保存用户状态的一种机制。当用户访问服务器时，服务器为其创建一个唯一的会话（Session），并在内存或存储中保存该用户的相关信息（如登录状态、用户ID等）。

每个 Session 都有一个唯一的 Session ID，通常通过 Cookie 发送给客户端，后续请求中客户端携带该 ID，服务器据此识别用户。想象 Session 就像超市给你的会员卡，第一次访问时服务器给你生成一张唯一的 “会员卡”（Session ID），以后每次访问你都出示这张卡，服务器就能通过卡片识别你的身份和之前的操作记录。

1.2 工作流程图解

1.3 Session 的工作原理

Session的工作流程可以分为四个阶段：

创建阶段：当用户第一次访问服务器时，服务器会生成一个唯一的Session ID，并创建对应的Session对象存储用户数据。
传输阶段：服务器通过Set-Cookie响应头，将Session ID发送给客户端，客户端会将其保存在Cookie中。
验证阶段：后续请求中，客户端会自动在Cookie中携带Session ID，服务器通过这个ID找到对应的Session对象。
销毁阶段：当用户登出或会话超时后，服务器会删除Session对象，客户端Cookie也会被清除或标记为过期。

📌 二、Session 的使用场景

用户登录状态保持
购物车信息存储
表单防重复提交
一次性验证码（如短信验证码）
权限控制与访问记录

📌 三、Java Web 中使用 Session（原生 Servlet）

3.1 获取或创建 Session

@WebServlet("/login")publicclassLoginServletextendsHttpServlet{@OverrideprotectedvoiddoPost(HttpServletRequest req,HttpServletResponse resp){String username = req.getParameter("username");// 获取或创建 SessionHttpSession session = req.getSession();// 存储用户信息 session.setAttribute("username", username); session.setAttribute("loginTime",newDate()); resp.getWriter().println("登录成功，欢迎 "+ username);}}

3.2 读取 Session 数据

@WebServlet("/profile")publicclassProfileServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequest req,HttpServletResponse resp){HttpSession session = req.getSession(false);// 不自动创建if(session !=null&& session.getAttribute("username")!=null){String username =(String) session.getAttribute("username");Date loginTime =(Date) session.getAttribute("loginTime"); resp.getWriter().println("用户："+ username +"，登录时间："+ loginTime);}else{ resp.setStatus(401); resp.getWriter().println("请先登录");}}}

3.3 注销 Session

@WebServlet("/logout")publicclassLogoutServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequest req,HttpServletResponse resp){HttpSession session = req.getSession(false);if(session !=null){ session.invalidate();// 销毁 Session} resp.getWriter().println("已退出登录");}}

📌 四、Spring Boot 中使用 Session

4.1 启用 Session 支持（默认已开启）

@RestControllerpublicclassUserController{@PostMapping("/login")publicStringlogin(@RequestParamString username,HttpServletRequest request){HttpSession session = request.getSession(); session.setAttribute("username", username);return"登录成功，用户："+ username;}@GetMapping("/info")publicStringgetUserInfo(HttpServletRequest request){HttpSession session = request.getSession(false);if(session !=null&& session.getAttribute("username")!=null){return"当前用户："+ session.getAttribute("username");}return"未登录";}@GetMapping("/logout")publicStringlogout(HttpServletRequest request){HttpSession session = request.getSession(false);if(session !=null){ session.invalidate();}return"已退出";}}

4.2 使用 `@SessionAttribute` 注解（更优雅）

@Controller@SessionAttributes("user")publicclassSessionController{@PostMapping("/login")publicStringlogin(@RequestParamString username,Model model){ model.addAttribute("user",newUser(username));return"redirect:/dashboard";}@GetMapping("/dashboard")publicStringdashboard(@SessionAttribute("user")User user,Model model){ model.addAttribute("user", user);return"dashboard";}}

📌 五、Session 的注意事项与最佳实践

5.1 安全性问题

风险	解决方案
Session 劫持	使用 HTTPS、设置 `Secure` 和 `HttpOnly` Cookie
Session 固定攻击	登录成功后调用 `session.invalidate()` 并创建新 Session
Session 泄露	敏感信息不要存入 Session（如密码）

// 在 Spring Boot 中配置 server.servlet.session.cookie.http-only=true server.servlet.session.cookie.secure=true server.servlet.session.cookie.same-site=strict

5.2 性能与可扩展性

内存占用：Session 默认存储在服务器内存中，大量用户会消耗内存。
集群部署问题：多台服务器时，Session 无法共享。

解决方案：

使用 Redis 存储 Session（推荐）
使用 Spring Session + Redis

<!-- pom.xml --><dependency><groupId>org.springframework.session</groupId><artifactId>spring-session-data-redis</artifactId></dependency>

# application.ymlspring:session:store-type: redis redis:host: localhost port:6379

5.3 Session 过期时间

# application.ymlserver:servlet:session:timeout: 30m # 30分钟

或在代码中设置：

session.setMaxInactiveInterval(1800);// 秒

✅ 总结

项目	说明
Session 本质	服务器端状态保持机制
核心原理	通过 Session ID 识别用户
优点	简单易用、数据安全（不暴露给客户端）
缺点	占用服务器资源、集群部署需共享
最佳实践	使用 Redis 存储、设置合理过期时间、防止 Session 劫持
替代方案	JWT（无状态认证）

📚 推荐

Git: filter-repo历史重写工具介绍

文章目录 * `git-filter-repo` 深度指南：安全高效重写 Git 历史 * 一、为什么需要 `git-filter-repo`？核心价值 * 1. 与传统工具对比 * 2. 核心优势 * 二、安装与验证 * 1. 安装方法 * 2. 验证安装 * 三、核心工作原理 * 1. 执行流程 * 2. 关键安全机制 * 四、10 大高频使用场景（含完整命令） * 场景 1：彻底删除目录（用户原始需求） * 场景 2：删除大文件（仓库瘦身） * 场景 3：重写提交者信息（合规需求） * 场景 4：提取子目录为独立仓库（微服务拆分） * 场景 5：合并多个仓库历史 * 场景

Fast-GitHub网络加速完全指南：彻底解决GitHub访问卡顿问题

还在为GitHub加载缓慢、下载龟速而困扰吗？Fast-GitHub作为一款专为国内开发者设计的智能网络加速插件，通过创新的技术手段彻底优化GitHub访问体验。这款工具能够智能识别GitHub资源请求，自动切换到最优网络节点，让你的开发效率实现质的飞跃。【免费下载链接】Fast-GitHub国内Github下载很慢，用上了这个插件后，下载速度嗖嗖嗖的~！项目地址: https://gitcode.com/gh_mirrors/fa/Fast-GitHub 🎯 GitHub访问难题的终极解决方案常见困扰场景： * 紧急项目需要从GitHub拉取依赖包，但网络连接频繁中断 * 重要的开源代码库下载进度长期停滞 * 团队协作时无法及时获取最新代码更新传统方法对比分析：加速方式操作复杂度稳定性维护成本系统代理中等一般需要定期调整网络加速服务复杂不稳定额外费用支出 * 系统代理：设置繁琐，影响其他应用运行 * 网络加速服务：配置复杂，稳定性难以保证 * hosts调整：需要手动维护，容易失效 Fast-GitHub采用轻量级插件设计，一键安装即

Answer 开源平台搭建：cpolar 内网穿透服务助力全球用户社区构建

文章目录 * 前言 * 1. 本地安装Docker * 2. 本地部署Apache Answer * 2.1 设置语言选择简体中文 * 2.2 配置数据库 * 2.3 创建配置文件 * 2.4 填写基本信息 * 3. 如何使用Apache Answer * 3.1 后台管理 * 3.2 提问与回答 * 3.3 查看主页回答情况 * 4. 公网远程访问本地 Apache Answer * 4.1 内网穿透工具安装 * 4.2 创建远程连接公网地址 * 5. 固定Apache Answer公网地址前言在开源社区运营中，问答平台的全球化访问始终面临双重挑战：一方面需要保障数据主权与隐私安全，另一方面要实现低延迟的跨地域访问。Answer

开源模型应用落地-安全合规篇-用户输入价值观判断（四）

一、前言在深度合规功能中，对用户输入内容的价值观判断具有重要意义。这一功能不仅仅是对信息合法性和合规性的简单审核，更是对信息背后隐含的伦理道德和社会责任的深刻洞察。通过对价值观的判断，系统能够识别可能引发不当影响或冲突的内容，从而为用户提供更安全、更和谐的交流环境。这种机制有助于培养用户积极、正向的思维方式，鼓励多元化但和谐的观点交流。同时，它还能够保护易受伤害群体，防止网络欺凌、仇恨言论或其他形式的负面影响，使整个网络环境更具包容性和合作性。因此，价值观判断不仅提升了技术系统的智能性，还在更广泛的社会层面推动了道德标准的提高和社会文化的进步。本篇介绍如何将“开源模型应用落地-安全合规篇-用户输入价值观判断（三）”功能集成进AI服务。前置学习：开源模型应用落地-安全合规篇-用户输入合规性检测（一）