cookie 和session 的区别详解

cookie 和session 的区别：
1、cookie数据存放在客户的浏览器上，session数据放在服务器上。
2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗   考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能   考虑到减轻服务器性能方面，应当使用COOKIE。
4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。
5、所以个人建议：   将登陆信息等重要信息存放为SESSION   其他信息如果需要保留，可以放在COOKIE中

session 原理：

一、session是怎么存储，提取的？
1.在服务器端有一个session池，用来存储每个用户提交session中的数据，Session对于每一个客户端（或者说浏览器实例）是“人手一份”，用户首次与Web服务器建立连接的时候，服务器会给用户分发一个SessionID作为标识。SessionID是一个由24个字符组成的随机字符串。用户每次提交页面，浏览器都会把这个SessionID包含在HTTP头中提交给Web服务器，这样Web服务器就能区分当前请求页面的是哪一个客户端,而这个SessionID是一cookie的方式保存的在客户端的内存中的，如果想要得到Session池中的数据，服务器就会根据客户端提交的唯一SessionID标识给出相应的数据返回。
2.输入正确的账号密码，点击登录，页面就会输出  “admin --- 点击登录”
二、Session池中每个客户端的数据是怎么存储的？
1.存储在Session池中的数据是全局型的数据，可以跨页面访问，每个SessionID中只存储唯一的数据，如：首先你这样设定：session["userName"]="admin",然后你在会话还没结束的session还没过期的情况下，你又设定：session["userName"]="123";这样这个SessionID没变，然而Session池中的数据则被覆盖。此时session["userName"]的值就是“123”，而不是其它。
2.Session池中的数据不能跨进程访问。如：打开login.aspx页面写入session[“userName”]="admin";然后login页面不关闭，即此会话不结束，在这是你再在另外一个浏览器中打开一个login.aspx页面则session["userName"]=null
3.输入账号密码，点击登录页面输出  “admin --- 点击登录” ，如果紧接着点击获取session按钮，则页面只输出"admin--- 点击获取session"，如果页面不关闭，打开另外一个浏览器，点击获取session按钮，则页面没法应。
三丶session的声明周期与销毁
1.session存储数据计时是滚动计时方式。具体是这样的，如果你打开写入session，从写入开始，此页面如果一直没有提交操作，则默认时间是20分钟，20分钟后session被服务器自动销毁，如过有提交操作，服务器会从提交后重新计时以此类推，直至设定时间内销毁。
2.可以设置session的销毁时间。上面代码有提到。
四丶session中保存的数据是在服务端的，而每个用户如进行登录操作，都要进行session数据写入，所以建议慎用session，就是少用。

每一个客户端都有一份独立的Session
用Session进行状态管理是ASP.NET最好的特性之一，因为它是安全的，对于客户端是透明的，并且他能存储任何类型的对象。而在这些优点之外，有时Session会导致一些对性能要求较高的网站的性能问题。因为他消耗服务器的内存存储用户访问网站所需的数据，现在让我们来看一看Session对于您Web 应用的利弊。

优点：
他能在整个应用中帮助维护用户状态和数据。
他能让我们简单地实现存储任何类型的对象。
独立地保存客户端数据。
对于用户来说，Session是安全的、透明的。
缺点：
因为Session使用的是服务器的内存，所以在用户量大的时候会成为性能瓶颈。
在序列化和反序列化的过程中他也会成为性能瓶颈，因为在StateServer（状态服务）模式和SQL Server模式下我们需要对我们存储的数据进行序列化和反序列化我们所存储的数据。
除此之外，Session的各种模式都有其利弊。接下来我们将讨论各种Session模式。