关于Cookie和Session的区别及使用。

HTTP是一种无状态的协议，为了分辨链接是谁发起的，需自己去解决这个问题。不然有些情况下即使是同一个网站每打开一个页面也都要登录一下。而Session和Cookie就是为解决这个问题而提出来的两个机制。

应用场景

1）登录网站，今输入用户名密码登录了，第二天再打开很多情况下就直接打开了。这个时候用到的一个机制就是Cookie。
2）Session一个场景是购物车，添加了商品之后客户端处可以知道添加了哪些商品，而服务器端如何判别呢，所以也需要存储一些信息就用到了Session。

1、Session

1.由于HTTP协议是无状态的协议，所以服务端需要记录用户的状态时，就需要用某种机制来识具体的用户，这个机制就是Session.
2.Session用于标识这个用户，并且跟踪用户，Session是保存在服务端的，有一个唯一标识。在服务端保存Session的方法很多，内存、数据库、文件都有。
3.大型的网站，一般会有专门的Session服务器集群，用来保存用户会话，这个时候 Session 信息都是放在内存的，使用一些缓存服务比如Memcached之类的来放 Session。Session用来追踪。

2、Cookie

Cookie是识别客户端的特定用户，为了解决HTTP无会话的问题。

1.每次HTTP请求的时候，客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的，第一次创建Session的时候，服务端会在HTTP协议中告诉客户端，需要在 Cookie 里面记录一个Session ID，以后每次请求把这个会话ID发送到服务器，它就知道你是谁了。
2.如果客户端的浏览器禁用了 Cookie ，一般这种情况下，会使用一种叫做URL重写的技术来进行会话跟踪，即每次HTTP交互，URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数，服务端据此来识别用户。
3. Cookie还可以用在一些方便用户的场景下，登陆过一个网站，下次登录的时候不想再次输入账号了，这个信息就可以写到Cookie里面，访问网站的时候，网站页面的脚本可以读取这个信息，就自动帮你把用户名给填了，能够方便一下用户。

注意：
1、从HTTP协议角度看：
Request Header：Cookie （Browser -> Server）
Response Header：Set-Cookie （Server -> Browser）
2、Cookie自己的属性：
1）域（domain） —— 每个Cookie绑定了一个域
2）过期时间（expireTime） —— 指导浏览器保存Cookie多久
①会话级别（Session） —— 浏览器进程生命
②长期 —— 浏览器关闭后仍然生效
3、如何使用浏览器中提供的工具：查看/修改/删除 cookie
4、Servlet中提供了一个Cookie类
1）可以通过req获取Cookie对象（背后Tomcat以及根据HTTP请求中的Cookie头信息把数据封装成对象）
2）可以通过resp，添加新的Cookie对象（背后Tomcat，会设置相应的Set-Cookie头信息）
5、Cookie信息是完全保存在浏览器（客户端的机器上），意味着Cookie信息中不能保存敏感信息。所以，很多信息被进行了拆分，脱敏信息可以作为Cookie保存到客户端去，而敏感信息则留在服务端。

3、Cookie+Session

通过一个用户登录业务，来演示Cookie+Session的效果：
静态资源：GET/login.html 返回登录页面（输入username + password）
动态资源：POST/login 进行验证，验证成功后，设置Session信息并种下Cookie

动态资源：GET/profile 如果登录了（欢迎xxx），否则（请先登录）

4、Cookie与Session的区别

1、Cookie是一套浏览器和HTTP服务器之间的约定，需要HTTP协议进行配合。可以脱离Session独立使用。（RequestHeader Cookie、 ResponseHeader SetCookie）
2、Session服务器内部，用来存储会话的信息的一套机制，Session具体可以保存在内存、文件、数据库或者其他存储中。Session也可以脱离Cookie独立使用。
3、一般来说，经常是Cookie和Session一起配合工作，达到使HTTP具备会话能力。
4、Cookie中保存的一般都是不敏感信息。