http协议是无状态的通信协议，不会维持，每次请求后就会关闭，多以需要我们来维护用户的登录状态。维护用户的登录状态（或者说标识用户的身份信息或记录会话信息）有三种方法【郝玉龙 Javaee 编程技术 52页】：

1.cookie：通过cookie将当前用户信息传给服务器

2.url重写：将用户信息通过参数传递给服务器

3.使用session：

url重写很容易暴露用户的信息，一个用户的登录状态横容易被别人利用；关于使用cookie有许多争论，很多人认为会造成对隐私权的侵犯，所以大部分浏览器都允许用户关闭cookie。由于以上原因，session是使用最广泛也最安全的做法，在servlet容器中，session也是一个用于会话管理的非常重要的对象，并且他存在于服务器，安全性也有保障，使用也更加方便。

在早期的session需要cookie的支持，为了兼容用户禁用cookie的情景，浏览器采用了url重写的方式。但究其原理，都是向服务器传递了一个session的唯一标识标识（JSESSIONID或PHPSESSID），通过这个标识在服务器找到与之对应的session。（在c/s模型中可以使用数据库中间键redis等）。所以，使用此种策略也可以实现client与server之间的会话跟踪。