cookie
由于http协议是一种无状态的协议,客户端和服务端互相不认识。当用户访问服务器时,服务器会发给客户端的一份cookie,就像给了用户一张通行证,客户端会把cookie保存起来,以后每次向服务器发送请求的时候都会带上cookie。由于存在客户端,cookie不太安全,且有4KB的大小限制。
session
当客户端访问服务器时,由服务器生成一份session保存在服务器,并通过cookie发送给客户端。以后每次客户端来请求服务器的时候,可以验证session。由于session存在服务端,难以篡改,会更加安全,且没有大小限制。