因为http是无状态的,所以需要cookie。
cookie是在浏览器端保存数据的,每次请求都会带过来,所以有安全隐患,容易被篡改,同时cookie的大小是有限的,只有4k。
session也是用来保存数据的,但是是保存在服务端的,所以相对比较安全,不易被篡改,同时session的大小取决于服务器的大小。
但是session不可能独立存在,cookie是基于session存在的。当浏览器首次去请求服务器,此时它的cookie是空的,服务器会给这个cookie一个session的id,当下次浏览器再次访问服务器时,就会带着session的id,然后服务器就可以读取这个session的id相关的文件来得到session相关的信息。
session也存在隐患,session_id用户可以看见并修改,如果你的session_id被窃取,当其访问服务器时,便会以你的身份进行访问,即session劫持。