Session与Cookie

1.为什么会有Session与Cookie？

因为HTTP是无状态登陆，之前已认证成功的用户状态无法通过协议层面保存下来。即，无法实现状态管理，因此即使当用户下一次继续访问，也无法区分他与其它的用户。于是我们会使用Cookie来管理Session，以弥补HTTP协议中不存在的状态管理功能。

2.Session管理及Cookie状态管理过程

步骤 1： 客户端把用户 ID 和密码等登录信息放入报文的实体部分，通常是以 POST 方法把请求发送给服务器。而这时，会使用 HTTPS通信来进行 HTML表单画面的显示和用户输入数据的发送。

步骤 2： 服务器会发放用以识别用户的 Session ID。通过验证从客户端发送过来的登录信息进行身份认证，然后把用户的认证状态与Session ID 绑定后记录在服务器端。向客户端返回响应时，会在首部字段 Set-Cookie 内写入 SessionID（如 PHPSESSID=028a8c…）。
你可以把 Session ID 想象成一种用以区分不同用户的等位号。然而，如果 Session ID 被第三方盗走，对方就可以伪装成你的身份进行恶意操作了。因此必须防止 Session ID 被盗，或被猜出。为了做到这点，Session ID 应使用难以推测的字符串，且服务器端也需要进行有效期的管理，保证其安全性。另外，为减轻跨站脚本攻击（XSS）造成的损失，建议事先在 Cookie内加上 httponly 属性。

步骤 3： 客户端接收到从服务器端发来的 Session ID 后，会将其作为Cookie 保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以 Session ID 也随之发送到服务器。服务器端可通过验证接收到的 Session ID 识别用户和其认证状态。

上图可以看出：Session的常见实现要借助Cookie来发送SessionID。

总结：
1. session 在服务器端，cookie 在客户端（浏览器）
2. session 默认被存在在服务器的一个文件里（不是内存）
3. session 的运行依赖 session id，而 session id 是存在 cookie 中的，也就是说，如果浏览器禁用了 cookie ，同时 session 也会失效（但是可以通过其它方式实现，比如在 url 中传递 session_id）
4. session 可以放在 文件、数据库、或内存中都可以。
5. 用户验证这种场合一般会用 session 因此，维持一个会话的核心就是客户端的唯一标识，即 session id

因此，维持一个会话的核心就是客户端的唯一标识，即 session id

上面是最基础的解释，等我学习深入，再继续写。或者直接参考下面的资料也可以，都是不错的文章。

参考资料：
http://blog.csdn.net/axin66ok/article/details/6175522
http://blog.csdn.net/fangaoxin/article/details/6952954/
https://www.zhihu.com/question/19786827
http://www.cnblogs.com/shiyangxt/articles/1305506.html
http://www.cnblogs.com/xulb597/archive/2012/07/02/2573252.html