cookie

      为什么用cookie  ？

      Http是无状态的协议，对于事务的处理没有记忆功能，因为是无状态的意味着如果后续处理前面的信息，必须要重新传输。cookie的出现解决了这个问题，第一次登录，服务器就会返回一些数据（cookie）给浏览器，当用户再次发送请求的时候，就会自动的携带上次请求存储的cookie数据带给服务器，服务器就会根据数据判断当前用户信息。

      cookie什么时候产生？

      cookie要先看需求，浏览器可以禁用cookie，服务端也可以不set-cookie，客户端向服务器发送一个请求时，服务端向客户端发送一个cookie，然后浏览器保存下来。

      cookie有两种保存的方式，一种是浏览器将cookie存储在内存中，另一种是保存在客户端的硬盘中。

        cookie的缺点？ 

        数量受到限制，一个浏览器能创建的cookie数量最多为300个，每个不能超过4KB，一个web站点总数不能超过20个。安全性不高，攻击者可以通过某种方式获取到用户的cookie。浏览器可以禁用cookie，禁用之后，就无法享有cookie带来的方便。

session

        什么是会话，什么是session？

        用户打开一个浏览器，点击多个超链接，访问多个web资源，然后关闭浏览器，整个过程为一个会话。

        session在网络应用中成为会话控制，可以存储特定用户会话所需的属性和配置信息。

        如果cookie是用户手中的票的话，那session就是用户档案。

        session什么时候产生？

1. 当客户端用户访问服务器端后，服务器端会向客户端浏览器返回一个会话编号sessionID。并且sessionID保存到cookie中。
2. 服务器端同时也把sessionID和该sessionID对应用户的信息和操作记录 记录到服务器上。这些记录就是session，是保存在服务器端的。
3. 客户端再次访问时，会发送cookie给服务器端。cookie中就包含了sessionID。
4. 服务器端通过cookie中找到会话编sessionID。通过此会话编号，即可找到所记录的用户信息，操作记录（访问过什么）。
    

cookie和session的区别

①cookie可以存储在浏览器或者本地，session只能存在服务器
②session 能够存储任意的 java 对象，cookie 只能存储 String 类型的对象
③session比cookie更具有安全性（cookie有安全隐患，通过拦截或本地文件找得到你的cookie后可以进行攻击）
④session占用服务器性能，session过多，增加服务器压力
⑤单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie，session是没有大小限制和服务器的内存大小有关
段落摘自原文链接：https://blog.csdn.net/weixin_45393094/article/details/104747360 

 

cookie和session结合使用 

 1、存储在客户端。通过cookie存储sessionID，然后具体的数据保存在session中。

 2、将session数据加密，然后存储在cookie中。