由来:http是无状态的,每次登录都需要重新输入,为了解决问题,出现了session和cookie
cookie:保存在客户端浏览器,方便,但不安全,可伪造信息;存储数据有限,一般不超过4KB
session:保存在服务器,安全,但占用服务器资源
用户第一次登录,服务器自动生成一个Session Id 标识session,并通过响应发送到浏览器,浏览器保存在本地;第二次登录,浏览器将sessionid放入请求中发送到服务器,服务器通过sessionid查找出session
cookie和session结合使用:
1、存储在服务端:cookie中存储session id,具体的数据放在session
2、session数据加密,存储在cookie中