什么是session？ cookie和session有何联系？

什么是session：

1.session 是一种服务端机制，类似散列表结构来存储用户数据。

2.浏览器第一次向服务器发送请求的时候，服务器会自动生成一个session和sessionID

3.sessionID唯一标识这个session

4.服务器通过返回响应将sessionID发送回浏览器

5.浏览器第二次向该服务器发送请求时会携带该sessionID

6.服务器通过这个sessionID找到对应的session获取用户数据

session的保存：

1.一般服务器会在一定时间内保存该session（默认30分钟），时间过了就会销毁，销毁前程序员可以使用session保存一些key-value数据

2.可以使用序列化的方法将这个session保存在数据库中，好处是数据会一直存在，坏处是数据量会不断增加。所以一般是使用前一种方法。

sessionID的保存方法：

1.服务器通过设置cookies的方式将sessionID发送给浏览器。如果设置cookies的过期时间，那么cookies不会存在于硬盘上，随着浏览器的关闭而关闭。

2.使用URL附加信息的方式，也就是像我们经常看到JSP网站会有aaa.jsp?JSESSIONID=*一样的。这种方式和第一种方式里面不设置Cookie过期时间是一样的。

3. 第三种方式是在页面表单里面增加隐藏域，这种方式实际上和第二种方式一样，只不过前者通过GET方式发送数据，后者使用POST方式发送数据。但是明显后者比较麻烦。

session和cookies的区别：

1. Cookie和Session都是会话技术，Cookie是运行在客户端，Session是运行在服务器端。

2. Cookie有大小限制以及浏览器在存cookie的个数也有限制，Session是没有大小限制和服务器的内存大小有关。

3. Cookie有安全隐患，通过拦截或本地文件找得到你的cookie后可以进行攻击。

session和cookies的联系：

1.Cookies是属于Session对象的一种。但有不同，Cookies不会占服务器资源，是存在客服端内存或者一个cookie的文本文件中；而“Session”则会占用服务器资源。所以，尽量不要使用Session，而使用Cookies。但是我们一般认为cookie是不可靠的，session是可靠地，但是目前很多著名的站点也都以来cookie。有时候为了解决禁用cookie后的页面处理，通常采用服务器端程序url重写技术，调用session中大量有用的方法从session中获取数据后置入页面。

使用cookies需要注意的方面：

1.不要保存私人信息。 
2.任何重要数据，最好通过加密形式来保存数据（最简单的可以用URLEncode，当然也可以用完善的可逆加密方式，遗憾的是，最好不要用md5来加密）。 
3.是否保存登陆信息，需有用户自行选择。 
4.长于10K的数据，不要用到Cookies。 

cookies的典型应用：

1.判断用户是否登陆过网站，以便下次登录时能够直接登录。如果我们删除cookie，则每次登录必须从新填写登录的相关信息。

2.存储用户的购物车数据（页面信息，商品信息），当然会有安全性方面的考虑。