session机制采用的是一种在服务器端保持状态的解决方案。
由于采用服务器端保持状态的方案在客户端也需要保存一个标识,
所以session机制可能需要借助于cookie机制来达到保存标识的目的
服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息
cookie机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的存贮机制,
他需要用户打开客户端的cookie支持。
cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力。
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能 考虑到减轻服务器性能方面,应当使用COOKIE。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
5、将登陆信息等重要信息存放为SESSION
作为身份认证 token安全性比session好,因为每个请求都有签名还能防止监听以及重放攻击,而session就必须靠链路层来保障通讯安全了