session和cookies的区别

session是存储在服务器端的，cookie是存储在客户端的，所以session的安全性要高于cookie。
再者，我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的，所以session里的东西不断增加会增加服务器的负担，我们会把一些重要的东西放在session里，不太重要的放在客户端cookie里。
cookie分为两大类，一个是会话cookie和持久化cookie，他们的生命周期和浏览器是一致的，浏览器关了会话cooki也就消失了，而持久化会存储在客户端硬盘中。

前言

一天，你有个需求，你要去超市买一瓶可乐。 到了超市买了可乐，你告诉售货员，下次给我准备下雷碧，我下次来拿。 第二次，你去超市拿雷碧，售货员说他不记得你什么时候说要准备雷碧。 这次你学聪明了，售货员给你写了个纸条，上面有超市的章印，下次你带着纸条来，买上了超市 给你准备的雷碧

cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据。跟服务器没啥关系，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以KV形式存储到某个目录下的文本文件中，下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间。所以每个域的cookie数量是有限制的。

不管你是请求一个资源文件(如html/js/css/), 还是发送一个ajax请求, 服务端都会返回response而response header中有一项叫set-cookie, 是服务端专门用来设置cookie的;

HTML5提供了两种本地存储的方式 sessionStorage 和 localStorage；

在上面我们了解了什么是Cookie，既然浏览器已经通过Cookie实现了有状态这一需求，那么为什么又来了一个Session呢？这里我们想象一下，如果将账户的一些信息都存入Cookie中的话，一旦信息被拦截，那么我们所有的账户信息都会丢失掉。所以就出现了Session，在一次会话中将重要信息保存在Session中，浏览器只记录SessionId一个SessionId对应一次会话请求。

这里我们写一个新的方法来测试Session是如何产生的，我们在请求参数中加上>