session 保存在哪 , 服务器还是本机（java web）

不可以，你去到别人的机器上用的session跟在自己用的seesion不一样的，就像我们用的百度账号，在你登陆的时候session就被创建，当年把网页关掉，session就死亡。对了，session是保存在服务器上的。你在之前调用的put方法可能把数据放到服务器的数据库，在别的机子用get()方法取出来，这样的情况还是可以存在的吧，额，我是菜鸟

session是存储在服务器端的，cookie是存储在客户端的，所以session的安全性要高于cookie。
再者，我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的，所以session里的东西不断增加会增加服务器的负担，我们会把一些重要的东西放在session里，不太重要的放在客户端cookie里。
cookie分为两大类，一个是会话cookie和持久化cookie，他们的生命周期和浏览器是一致的，浏览器关了会话cooki也就消失了，而持久化会存储在客户端硬盘中。

如果用户未 *** 作的「长时间」超过了服务器配置的session超时时间，并导致session失效，那么我们延长session的超时时间，让用户原来的「长时间」与超时时间相比，变得不「长」，就可以解决。
如果用户是长时间「未 *** 作」导致session失效，那么我们想办法产生「 *** 作」，让用户每隔一小段时间就「 *** 作」一次，与服务器产生交互，那么session自然也不会失效。
一般情况下下，我们首先想到的是，通过改变服务器的配置，延长服务器的session超时时间。例如，在Tomcat服务器的webxml文件中有如下节点内容:30这里的30表示session的超时时间，单位为分钟，如果用户登录后在30分钟内没有与服务器交互，那么当前用户的session将失效。
我们可以配置一个更大的数值(比如60)，就可以延长session的超时时间，如果将该值改为0或负数的话，则表示session永不失效。
不过在实际的工作应用中，一味地上调session的超时时间设置并不怎么常见，大多数需要实现该功能的网站都将解决问题的焦点集中在第二条思路上。例如：一些在线网站均采用定时刷新页面的方法来防止session超时。

---