cookie和session的区别

一、相同点

作用：都是用来跟踪浏览器用户身份的会话方式

二、工作原理

1、Cookie的工作原理

（1）浏览器端第一次发送请求到服务器端

（2）服务器端创建Cookie，该Cookie包含用户的信息，然后将该Cookie发送到浏览器端

（3）浏览器端再次访问服务器端时会携带该Cookie

（4）服务器端通过Cookie中携带的数据区分不动的用户

2、Session的工作原理

（1）浏览器端第一次发送请求到服务器端，服务器端创建一个Session，同时会创建一个特殊的Cookie（name为JSESSIONID的固定值，value为session对象的ID），然后将该　　　　         Cookie发送至浏览器端
（2）浏览器端发送第N（N>1）次请求到服务器端时，会携带该Cookie对象
（3）服务器端根据Cookie的value(sessionId),去查询Session对象，从而区分不同用户。
　　Cookie不存在（关闭或更换浏览器），返回1中重新去创建Session与特殊的Cookie
　　Cookie存在，根据value中的SessionId去寻找session对象
　　　　SessionId不存在**（Session对象默认存活30分钟）**，返回1中重新去创建Session与特殊的Cookie
　　　　SessionId存在，返回session对象

三、cookie和session的区别

1、cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的。

2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用服务器的性能，考虑到减轻服务器性能方面，应当使用cookie

4、单个cookie保存的数据不能超过4k,很多浏览器都限制一个站点最多保存20个cookie。

5、可以将登陆信息等重要信息存放为session。

参考连接：

　　　　　（cookie,session,token）

原文：https://www.cnblogs.com/zh-xiaoyuan/p/15311349.html