Session与Cookie的比较

Cookie与Session都可以进行会话跟踪，但是实现的原理不太一样。一般情况下两者均可以满足要求，当有时候不可以使用Cookie，有时候不可以使用Session。下面通过比较说明两者的特点以及使用的场合。
1、从存取方式上比较
Cookie中只能保存ASCII字符串，如果要存取Unicode字符或者二进制数据，需要进行UTF-8、GBK或者BASE64等方式的编码。Cookie中也不能直接存取Java对象。若要存储稍微复杂的信息，使用Cookie是比较困难的。
而Session中可以存取任何类型的数据，包括String、Integer、List以及Map等。Session中可以直接保存Java Bean及乃至任何Java类、对象等，使用起来非常方便。可以把Session看做一个Java容器类。
2、从隐私安全上看
Cookie存储在客户端浏览器中，对客户端是可见的，客户端的一些程序可能会窥探、复制甚至修改Cookie中的内容。而Session存储在服务器上，对客户端是透明的，不存在敏感信息泄露的危险。
如果选用Cookie，比较好的方法是敏感的信息如账号密码等尽量不要写到Cookie中。最好是像Google、Baidu那样将Cookie信息加密，提交到服务器后再进行解密，保证Cookie中的信息只有自己能够读懂。而如果选择Session就省事多了，反正数据存储在服务器上。
3、从有效期上比较
使用过Google的人都知道，如果登陆过Google，则Google的登录消息长期有效。用户不必每次访问都重新登录，Google会长久地记录该用户的登录信息。要达到这种效果，使用Cookie会是比较好的选择。只需要设置Cookie的maxAge属性为一个很大的数字或者Integer.MAX_VALUE就可以了。Cookie的maxAge属性支持这样的效果。
使用Session理论上也能实现这种效果。只要调用方法setMaxInactiveInterval(Integer.MAX_VALUE)就可以。但是由于Session依赖于JSESSIONID的Cookie，而Cookie JSESSIONID的maxAge默认为-1，只要关闭了浏览器该Session就会失效，因此Session不能实现信息永久有效的效果。使用URL地址重写也不能实现。
而且如果设置Session的超时时间过长，服务器累计的Session就会越多，越容易导致内存溢出。
4、从对服务器的负担上比较
Session是保存在服务器端上，每个用户都会产生一个Session。如果并发访问的用户非常多，会产生非常多的Session，消耗大量的内存。因此像Google、Baidu、Sina这样高并发访问量极高的网站，是不太可能用Session来追踪用户的会话的。
而Cookie保存在客户端，不占用服务器资源。如果并发浏览器的用户非常多，Cookie是很好的选择。对于Google、Baidu、Sina来说，Cookie也许是唯一的选择。
5、从浏览器支持上比较
Cookie是需要客户端浏览器支持的。如果客户禁用了Cookie,或者不支持Cookie，则会话跟踪会失效。对于WAP上的应用，常规的Cookie就派不上用场了。
如果客户端浏览器不支持Cookie，需要使用使用Session以及URL地址重写。需要注意的是所有的用到的Session程序的URL都要使用response.encodeURL(String URL)或者response.encodeRedirectURL(String URL)进行URL地址重写，否则导致Session会话跟踪失败。对于WAP应用来说，Session+URL地址重写也许是唯一的选择。
如果客户端支持Cookie，则Cookie既可以设为本浏览器窗口以及子窗口内有效（把maxAge设为-1），也可以设为所有浏览器窗口内有效（把maxAge设为某个大于0的整数）。但Session只能在本浏览器窗口以及其子窗口内有效。如果两个浏览器窗口互不相干，它们将使用两个不同的Session。
6、从跨域上比较
Cookie支持跨域名访问，例如将domain属性设置为“.helloweenvsfei.com”，则以“.helloweenvsfei.com”为后缀的所有域名均可以访问该Cookie。跨渔民Cookie现在被广泛用在网络中，例如Google、Baidu、Sina等。而Session则不会支持跨域名访问。Session仅在他所在的域名内有效。

注意：仅使用Cookie或者仅使用Session可能实现不了理想的效果。这时应该尝试下同时使用Cookie与Session。

总之：
Cookie是早期的会话跟踪技术，它将信息保存到客户端浏览器中。浏览器访问网站时会携带这些Cookie信息，达到鉴别省份的目的。
Session是在Cookie基础上建立的会话跟踪技术，它将信息保存在服务端，Session中能够保存java对象，因此Session使用起来更加方便。但是，Session依赖于名为JSESSIONID的Cookie。
如果客户端浏览器不支持Cookie，或者禁用Cookie，仍然可以通过使用URL地址来重写Session。