两者都是保存用户回话状态的方案
Cookie是将用户会话保存在浏览器端,安全性问题比较低,用户可见,容易被篡改和盗取,csrf攻击
Session是将用户会话状态保存在服务端,安全性较高,用户不可见
但是Session需要占用服务端资源,集群环境下需要注意Session同步的问题,比如tomcat的session同步方案,小集群还好,集群一大同步session就占用了很多内部带宽和cpu资源
比较常用的方案是将用户会话保存在中央缓存服务器上,在cookie里面记录一个缓存key,每次都从中央缓存服务器获取用户登录态