Cookie Session 浅知识

HTTP协议的无状态性，所以服务器需要记录用户状态的时候，需要一种机制，这就是Session，它能够在服务器端根据Session ID记录一个用户，可以放在内存、数据库、文件等。用这个Session ID与用户信息的映射来读取用户的历史信息。

但是需要每次用户请求的时候都知道这个用户的Session ID，否则还是读不到，这时多数情况要用到客户端状态保存的Cookie（客户端Cookie被禁用就要另想办法），服务器端第一次创建Session时，服务器端会在协议中，告诉客户端Cookie记录一个Session ID，以后每次请求的时候都带上这个Session ID。如果客户端禁用Cookie了，就要使用URL重写来跟踪，每次HTTP请求，都要带上如sid=***这样的参数。

Cookie中，还可以包括其他服务器设置信息，如用户名等，同时会设置过期时间，这样在一段时间内，用户再次打开某个网页，服务器会知道用户名等信息，感觉非常友好，like a cookie。

Cookie的问题是不够安全，用户可以人为修改Cookie内容，进行Cookie欺骗，如果考虑安全性，可以使用Session。