會話（Session）跟蹤是Web程序中常用的技術(shù)，用來跟蹤用戶的整個會話。常用的會話跟蹤技術(shù)是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份，Session通過在服務(wù)器端記錄信息確定用戶身份。

Cookie機(jī)制

Cookie技術(shù)是客戶端的解決方案，Cookie就是由服務(wù)器發(fā)給客戶端的特殊信息，而這些信息以文本文件的方式存放在客戶端，然后客戶端每次向服務(wù)器發(fā)送請求的時候都會帶上這些特殊的信息。
客戶端發(fā)送一個http請求到服務(wù)器端 服務(wù)器端發(fā)送一個http響應(yīng)到客戶端，其中包含Set-Cookie頭部 客戶端發(fā)送一個http請求到服務(wù)器端，其中包含Cookie頭部 服務(wù)器端發(fā)送一個http響應(yīng)到客戶端

Session機(jī)制

除了使用Cookie，Web應(yīng)用程序中還經(jīng)常使用Session來記錄客戶端狀態(tài)。Session是服務(wù)器端使用的一種記錄客戶端狀態(tài)的機(jī)制，使用上比Cookie簡單一些，相應(yīng)的也增加了服務(wù)器的存儲壓力。Session技術(shù)是服務(wù)端的解決方案，它是通過服務(wù)器來保持狀態(tài)的。

什么是Cookie

Cookie意為“甜餅”，是由W3C組織提出，最早由Netscape社區(qū)發(fā)展的一種機(jī)制。目前Cookie已經(jīng)成為標(biāo)準(zhǔn)，所有的主流瀏覽器如IE、Netscape、Firefox、Opera等都支持Cookie。

由于HTTP是一種無狀態(tài)的協(xié)議，服務(wù)器單從網(wǎng)絡(luò)連接上無從知道客戶身份。怎么辦呢？就給客戶端們頒發(fā)一個通行證吧，每人一個，無論誰訪問都必須攜帶自己通行證。這樣服務(wù)器就能從通行證上確認(rèn)客戶身份了。這就是Cookie的工作原理。

Cookie實際上是一小段的文本信息?？蛻舳苏埱蠓?wù)器，如果服務(wù)器需要記錄該用戶狀態(tài)，就使用response向客戶端瀏覽器頒發(fā)一個Cookie?？蛻舳藶g覽器會把Cookie保存起來。當(dāng)瀏覽器再請求該網(wǎng)站時，瀏覽器把請求的網(wǎng)址連同該Cookie一同提交給服務(wù)器。服務(wù)器檢查該Cookie，以此來辨認(rèn)用戶狀態(tài)。服務(wù)器還可以根據(jù)需要修改Cookie的內(nèi)容。

什么是Session

Session是另一種記錄客戶狀態(tài)的機(jī)制，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在服務(wù)器上?？蛻舳藶g覽器訪問服務(wù)器的時候，服務(wù)器把客戶端信息以某種形式記錄在服務(wù)器上。這就是Session?？蛻舳藶g覽器再次訪問時只需要從該Session中查找該客戶的狀態(tài)就可以了。

如果說Cookie機(jī)制是通過檢查客戶身上的“通行證”來確定客戶身份的話，那么Session機(jī)制就是通過檢查服務(wù)器上的“客戶明細(xì)表”來確認(rèn)客戶身份。Session相當(dāng)于程序在服務(wù)器上建立的一份客戶檔案，客戶來訪的時候只需要查詢客戶檔案表就可以了。

Cookie與Session的區(qū)別

一 、cookie數(shù)據(jù)存放在客戶的瀏覽器上，session數(shù)據(jù)放在服務(wù)器上；
二 、cookie不是很安全，別人可以分析存放在本地的COOKIE并進(jìn)行COOKIE欺騙，考慮到安全應(yīng)當(dāng)使用session；
三 、session會在一定時間內(nèi)保存在服務(wù)器上。當(dāng)訪問增多，會比較占用你服務(wù)器的性能?？紤]到減輕服務(wù)器性能方面，應(yīng)當(dāng)使用COOKIE；
四 、單個cookie在客戶端的限制是3K，就是說一個站點在客戶端存放的COOKIE不能超過3K；

Cookie和Session的方案雖然分別屬于客戶端和服務(wù)端，但是服務(wù)端的session的實現(xiàn)對客戶端的cookie有依賴關(guān)系的，上面我講到服務(wù)端執(zhí)行session機(jī)制時候會生成session的id值，這個id值會發(fā)送給客戶端，客戶端每次請求都會把這個id值放到http請求的頭部發(fā)送給服務(wù)端，而這個id值在客戶端會保存下來，保存的容器就是cookie，因此當(dāng)我們完全禁掉瀏覽器的cookie的時候，服務(wù)端的session也會不能正常使用

摘自：http://my.oschina.net/xianggao/blog/395675#OSC_h2_1