根本不存在什麼session和cookie的區別

經常聽人說session和cookie的區別，聽得多了連自己都糊塗了。 根本就沒這回事。 session和cookie，說到底都是cookie，因爲大多數的session是用cookie來實現的。既然兩個都是cookie，談區別就顯得很可笑了。


正確的說法是：session和cookie一起用，和只用cookie，兩者的區別。 這樣說更加反映問題的本質。


常見誤區1：cookie數據存放在客戶的瀏覽器上，session數據放在服務器上。
真相：session也要藉助cookie，也要存放在客戶端。

常見誤區2：只要關閉瀏覽器，session就消失了，而cookie不會消失
真相：正好說反了，只有cookie纔會因爲瀏覽器的關閉而消失，session是不會因爲瀏覽器的關閉而消失的，服務端session一般是定期清理，一段時間不用會被刪掉。

常見誤區3：會話cookie即session，持久cookie即cookie。
真相：很多會話cookie並沒有用到JSessionId這種服務端動態生成的機制，也就是說你每次登錄進去，cookie都是一模一樣的值，但是人家偏偏就是會話cookie。單憑cookie的生效時間、過期時間來判斷，是不夠的，要看服務端的實現原理。