今天看到rails 的session 實現方式時,突然對Tomcat的session 實現方式也產生了好奇心.

  一般會認為客戶端在第一次訪問Web容器時，容器會創建一個Session，這個Session被添加到一個Map 里，由容器負責維護。這個大家都很清楚，也很容易理解。但是關鍵是如何與客戶端瀏覽器交換這個SessionId 的信息，很多書都提到有三種方式：cookie、URL重寫、和隱藏表單，后兩種是類似的。

如果是第一種，那么Sessionid被關聯到一個瀏覽器一關閉就失效的cookie里，然后客戶端瀏覽器每次用這個cookie來標示會話。注意這些都是Web容器替我們完成的。

如果是URL重寫，則每個請求字符串后面會被附加如;jsessionid=XXXXXXXXX這樣的標示，用于標示會話。

  容器何時決定使用哪一種方法？

我找了一個Winsock Expert的軟件來監測IE 瀏覽器發送和接收的信息，IE的版本為6.0，Tomcat的版本為5.0.19，結果如下：當IE瀏覽器向Tomcat第一次發出請求時，
不包含任何Cookie信息，當然這是第一次訪問這個站點。為了比對Cookie的內容，我在訪問的index.jsp頁面中使用了response.setCookie向響應放了一個名為newCookie的Cookie。

最后監測的結果如下，除了用戶自定義的newCookie之外，還有一個名為JSESSIONID的Cookie被加入了響應。

在接下來的請求中，都包含了JSESSIONID這個Cookie，在請求內容中能清楚的看到這一點：

但是，如果用request.getCookies是無法看到JSESSIONID這個Cookie的，只能看到我自定義的那個newCookie，JSESSIONID這個Cookie被Tomcat隱藏起來了，對于編程人員來說，是不可見的（我無法使用${cookie.JSESSIONID.name}或是${cookie.JSESSIONID.value}來檢查它的名稱和值，雖然這些對我來說都是已知的）。

得出如下結論：如果客戶端禁用cookie，就用jsessionid,它的內容不寫在硬盤,而是被ie緩存在內存了,即便客戶端禁用了cookie,jsessionid還是存在的,這樣一來的話,服務器就可以知道來自客戶端的請求是不是來自同一個流覽器了.

==============================

你這里有個誤解,當禁用cookie后,瀏覽器可以接受JSESSIONID,放到瀏覽器內存里,但是瀏覽器不能將這個JSESSIONID放在請求頭里發送給服務器,所以實現不了會話,用戶禁用cookie后,只能用你說的后兩種方法

你的認識是對的，我在寫這篇blog后，經過查閱資料意識到自己之前的認識有點偏差，但忘記改相應的blog了