JSESSIONID是什么

JSESSIONID是一个Cookie，Servlet容器（tomcat，jetty）用来记录用户session。

创建会话时，即调用request.getSession()的时候，关于getSession就不说了。补充几点是，访问html是不会创建session的，JSP页面默认是会创建session的，可以在JSP页面里面关掉自动创建session

服务端在内存里创建session，需要种Cookie，除了在request header里面设置Set-Cookie以外，tomcat等容器有一个URL重写机制。这个机制是客户端Cookie不可用时的一个兜底策略，通过在URL后面加上;jsessionid=xxx来传递session id，这样即使Cookie不可用时，也可以保证session的可用性，但是session暴露在URL里，本身是不安全的，到这里基本网上说法都是一致的

但是最关键的问题，tomcat怎么知道客户端Cookie不可用。我在idea导入tomcat的源码调试跟踪，不同版本有些出入，大致应该还是一样的

tomcat有一个org.apache.catalina.connector.Response是Response的落地类，有两个方法会进行URL重写，分别是encodeRedirectURL和encodeURL，encodeRedirectURL是重定向时会被调用，encodeURL貌似是手动调用，所以默认情况，重定向时才会出现URL重写。

其实只要客户端没有传JSESSIONID，tomcat都假定Cookie不可用