深入理解session和cookie

理解一个东西首先要知道它的由来，也就是为什么会需要它，它的作用是什么。

Cookie

随着web的不断发展，需求也在不断的变化，从最初的全静态页面到后面的动态页面。因为http协议是一个无状态的协议，当用户的一次访问结束后，后端服务器就无法知道下一次来访问的还是不是上一次访问的用户。由此w3c组织设计了Cookie来记录用户的访问行为。

优点：

能够通过Cookie来跟踪记录用户的访问行为，由此可以对用户进行个性化推荐。

通过Cookie能够划分访问用户，针对不同访问用户的数据做缓存，大大提高数据的访问性能。

缺点：

Cookie通过把所有保存的数据通过HTTP的头部从客户端传递到服务端，又从服务端再传回到客户端 ，随着Cookie个数的增加和访问量的增加，它占用的网络带宽也很大。

由于Cookie通过HTTP头部来传递到服务端，服务端又传回客户端，所有的数据都存储在客户端浏览器里，所以可以很容易的利用一些插件查看和修改Cookie，所以Cookie的安全性受到了很大的挑战。

Session

由于Cookie存在缺点，所以就有了Session。

Session基本思路：

同一个客户端每次和服务端交互式，不需要每次都传回所有的Cookie值，而是只要传回一个ID，这个ID是客户端第一次访问服务器时生成的，而且每个客户端是唯一的。这样每个客户端就有了一个唯一的ID，客户端只要传回这个ID就行了，这个ID通常是NAME为JSESIONID的一个Cookie。

通过Session进行交互时传递的只是一个ID，所以也就不会增加网络带宽。

通过Session进行交互时，数据都存储在后端服务器，所以安全性也得到了保障。