session用以登登出防止重登

如果一定要获得登录退出状态，就需要除了登录退出来确认在线下线外，还得有一个 在线确认+超时认定下线 机制

如果没有在线确认（比如心跳消息等），就无法确认是否没有主动退出，结合了超时认定下线就可以完善退出机制。

具体的可以查一下：
2、session何时被删除?
综合前面的讨论，session在下列情况下被删除a.程序调用HttpSession.invalidate();或b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置;或c.服务器进程被停止（非持久session）

http://beyond99.blog.51cto.com/1469451/543282