HTTP协议是没有状态的。那么，在安全性很高的JSP应用中，如何对用户进行身
份验证呢？

session对象可以保持状态。它通过Cookie或是URL的参数来传递一个ID，这个ID
标明了一个session（会话），一个会话的所有状态保存在服务器端。但是这样
的方法很不安全，URL的参数可以从浏览器的地址栏直接看见，Cookie也可以从
浏览器的临时文件夹里找到。
还可以通过隐藏的表单字段来实现状态的保持，但是字段值很容易从历史中的
HTML源代码中看到。
这样的话，如果你的sessoin还没有过期，别人可以用你的sessionID来干任何事
。虽然你可以告诉用户用完以后一点要注销，但是你不能指望他们一定就会这样
做，当出了问题时，他们只会抱怨你的系统不够安全。

这样的问题通常是如何解决的呢？

还可以通过隐藏的表单字段来实现状态的保持，但是字段值很容易从历史中的HTML源代码中看到。解决办法：
http://www.csdn.net/oldexpert/TopicView.asp?id=82762&table=200101


如果你的sessoin还没有过期，别人可以用你的sessionID来干任何事
------所以很多网站都有醒目的提醒“确保安全退出，否则后果自负(我加的：-)”。