session

Session是在服务端保存的一个数据结构，用来跟踪用户的状态；
Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息；

大多数的应用会用 Cookie 来实现Session跟踪，第一次创建Session的时候，服务端会在HTTP协议中告诉客户端，需要在 Cookie 里面记录一个Session ID，以后每次请求把这个会话ID发送到服务器，我就知道你是谁了；

如果客户端的浏览器禁用了 Cookie 怎么办？一般这种情况下，web服务器会使用一种叫做URL重写的技术来进行会话跟踪，会在URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数，服务端据此来识别用户；

以下在HTTP请求报文头的最后一行有cookie，不过是JSessionID的cookie值：

 

Session Cookies（session）是临时的cookie文件, 在你关闭浏览器之后就会失效并被删除掉；

Persistent Cookies（cookie）会被保存在一个浏览器的一个子文件夹中, 除非手动删除或者浏览器定期清理, 否则会一直存在