cookie

cookie 是一個非常具體的東西，指的就是瀏覽器裏面能永久存儲的一種數據，僅僅是瀏覽器實現的一種數據存儲功能。

cookie由服務器生成，發送給瀏覽器，瀏覽器把cookie以kv形式保存到某個目錄下的文本文件內，下一次請求同一網站時會把該cookie發送給服務器。由於cookie是存在客戶端上的，所以瀏覽器加入了一些限制確保cookie不會被惡意使用，同時不會占據太多磁盤空間，所以每個域的cookie數量是有限的。

session

session 從字面上講，就是會話。這個就類似於你和一個人交談，你怎麽知道當前和你交談的是張三而不是李四呢？對方肯定有某種特征（長相等）表明他就是張三。

session 也是類似的道理，服務器要知道當前發請求給自己的是誰。為了做這種區分，服務器就要給每個客戶端分配不同的“身份標識”，然後客戶端每次向服務器發請求的時候，都帶上這個“身份標識”，服務器就知道這個請求來自於誰了。至於客戶端怎麽保存這個“身份標識”，可以有很多種方式，對於瀏覽器客戶端，大家都默認采用 cookie 的方式。

服務器使用session把用戶的信息臨時保存在了服務器上，用戶離開網站後session會被銷毀。這種用戶信息存儲方式相對cookie來說更安全，可是session有一個缺陷：如果web服務器做了負載均衡，那麽下一個操作請求到了另一臺服務器的時候session會丟失。

發展史：

很久很久以前，Web 基本上就是文檔的瀏覽而已， 既然是瀏覽，作為服務器， 不需要記錄誰在某一段時間裏都瀏覽了什麽文檔，每次請求都是一個新的HTTP協議， 就是請求加響應， 尤其是我不用記住是誰剛剛發了HTTP請求， 每個請求對我來說都是全新的。這段時間很嗨皮

但是隨著交互式Web應用的興起，像在線購物網站，需要登錄的網站等等，馬上就面臨一個問題，那就是要管理會話，必須記住哪些人登錄系統， 哪些人往自己的購物車中放商品， 也就是說我必須把每個人區分開，這就是一個不小的挑戰，因為HTTP請求是無狀態的，所以想出的辦法就是給大家發一個會話標識(session id), 說白了就是一個隨機的字串，每個人收到的都不一樣， 每次大家向我發起HTTP請求的時候，把這個字符串給一並捎過來， 這樣我就能區分開誰是誰了

這樣大家很嗨皮了，可是服務器就不嗨皮了，每個人只需要保存自己的session id，而服務器要保存所有人的session id ！ 如果訪問服務器多了， 就得由成千上萬，甚至幾十萬個。

這對服務器說是一個巨大的開銷 ， 嚴重的限制了服務器擴展能力， 比如說我用兩個機器組成了一個集群， 小F通過機器A登錄了系統， 那session id會保存在機器A上， 假設小F的下一次請求被轉發到機器B怎麽辦？ 機器B可沒有小F的 session id啊。

有時候會采用一點小伎倆： session sticky ， 就是讓小F的請求一直粘連在機器A上， 但是這也不管用， 要是機器A掛掉了， 還得轉到機器B去。

那只好做session 的復制了， 把session id 在兩個機器之間搬來搬去， 快累死了。

sessions and cookies