Cookie是客户端浏览器用来保存服务端数据的一种机制。当通过浏览器进行网页访问的时候,服务端可以把某些状态数据以 key-value 的方式写入 Cookie 中并存储到客户端浏览器上。客户端下一次再访问服务端的时候,就可以携带这些状态数据发送到服务端,服务端可以根据Cookie 携带的内容来识别使用者。
Session 表示一个会话,它属于服务端的容器对象。在默认情况下,针对每一个浏览器的请
求,Servlet 容器都会分配一个Session。Session 本质上是一个 ConcurrentHashMap,可以存储当前会话产生的一些状态数据。HTTP 本身是一个无状态协议,也就是说服务器并不知道客户端发送过来的多次请求属于同一个用户。Session 可以弥补 HTTP 无状态的不足,简单地说,服务端可以利用 Session 来存储客户端在同一个会话中的多次请求记录。基于服务端Session存储机制及客户端的Cookie机制,就可以实现有状态的HTTP,具体的工作原理是这样的,客户端第 1 次访问服务端的时候,服务端会针对这次请求创建一个会话,并生成一个唯一的 sessiond 来标注这个会话。然后服务端把这个 sessionId 写入客户端浏览器的Cookie中,用来实现客户端状态的保存。在后续的请求里面,每次都会携带 sessionId,服务端就可以根据这个sessiond 来识别当前的会话状态。
所以,总的来看,Cookie 是客户端的存储机制,Session 是服务端的存储机制。两者结合使用可以实现会话状态的存储。