以Tomcat為例，當使用瀏覽器訪問一個jsp時，Tomcat會先根據jsp生成java檔案，再編譯成class，最後執行，輸出內容到瀏覽器，瀏覽器解析呈現給使用者。java和class檔案會放到<Tomcat安裝目錄>/work/Catalina/localhost/<你的應用>/org/apache/jsp/<相應包>下，比如你有個test.jsp，那麼就會生成test_jsp.java檔案。開啟test_jsp.java，找到其_jspService方法，會看到宣告瞭一些我們常說的jsp內建物件。

PageContext pageContext = null;
HttpSession session = null;
ServletContext application = null;
JspWriter out = null;

       再往下看，會看到有一句session = pageContext.getSession();，這裡生成了session物件，也就是說，訪問jsp時，伺服器自動生成了session物件(可以在jsp的page宣告中加入session="false"，禁用session)。

       啟動一個應用，訪問一個jsp，這裡以我本地的為例。

       初次訪問伺服器上的一個jsp，伺服器在響應頭中設定了臨時cookie，並加上了一JSESSIONID(毋庸置疑，肯定是伺服器給加上的，Tomcat具體程式碼我沒有去找)。

       第二次訪問jsp：

       瀏覽器將儲存JSESSIONID的cookie隨著請求一起傳送到伺服器，伺服器通過JSESSIONID到記憶體中找到上次生成的session物件，從而實現客戶端(瀏覽器)共享session。JSESSIONID也可以拼在url上，如http:///localhost:8080/testApp/test.jsp;JSESSIONID=XXXXXXXXXXXX?param1=value1，JSESSIONID可以通過request.getSession().getId()得到，url中如果有JSESSIONID，伺服器就不會從cookie中取了。

       注：瀏覽器多個tab之間(同一域下)共享session，實際上就是臨時cookie都一樣，JSESSIONID都是一個。而多個視窗之間使用不同的cookie不一樣，所以不能共享session。