session和token的文章
https://juejin.im/entry/592e286d44d9040064592a7b
https://segmentfault.com/a/1190000017831088

一：Session和Request

1. Session是一次链接有效，客户端连接到服务端之后，只要sessionId还在，session都存在。session的生命周期是针对一个客户端，会话周期内(一般是20-30分钟)session里边的内容将一直存在，即便关闭了这个客户端浏览器 session也不一定会马上释放掉的。
2. Request是一次请求有效。客户端请求了页面A，A里面有个request，如果A让客户端重定向到B页面，这个时候request就不存在了。如果是请求转发，A页面直接跳到了B页面，这个时候request还存在。

二：Session和HttpSession

HttpSession是Java平台对session机制的实现规范

三：RedirctAttributes

客户端向A请求的时候，A会重定向到B。这个时候用request肯定不行。那就剩下session和redirctAttributes。session是全局的，尽量不放进去东西。redirctAttributes重定向的时候用比较好。(感觉自己在废话)