1.Cookie

1.1 Cookie机制

cookie是服务器生成，客户端保存的一小段（最大3k）文本文件。当客户端首次通过HTTP访问服务的时候，服务端会生成Cookie，然后客户端（浏览器）会保存本Cookie，下次访问服务端的时候会在请求头带上这个Cookie，从而实现了服务端和客户端的数据交换和数据校验。Cookie弥补了HTTP是无状态协议特性的天然缺陷，一个Cookie从生成到发送的过程如图：

生成cookie过程
但是，由于HTTP协议不仅是无状态的，且是不安全的，因此可以把Cookie的secure设置为yes，但是secure属性并不能对Cookie内容加密，因而不能保证绝对的安全性。如果需要高安全性，需要在程序中对Cookie内容加密、解密，以防泄密。

1.2Cookie特性

1. Cookie是不可以跨域名访问的，有了这个特性保证了用户信息的基本安全。每个Cookie可以理解成是每个域名（当然域名也分为一级、二级等）访问的通行证，为了保证数据不错乱和数据信息安全，每个域名都会相应的由服务器生成独立的Cookie，每个域名只可以操作对应域名的Cookie，这里可以在下面理解Cookie的属性。
2. Cookie中使用中文的话，需要编码保存。Cookie中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码，因为浏览器不一定支持，而且JavaScript也不支持GBK编码。
3. Cookie可以保存二进制文件，这一点可操作性比较丰富，比如使用数字证书，或者保存图片。但是一般不推荐使用，由于Cookie本身特点，适合存储少量信息。

1.3 Cookie属性

Cookie的操作在OC中也做了一个OO封装——NSHTTPCookie，基本满足日常cookie操作，其常用属性有以下：

• NSHTTPCookieName，同name，是该Cookie的名称，Cookie一旦创建变不可修改。
• NSHTTPCookieValue，同value，该Cookie的值，如果值为Unicode字符，需要为字符编码，如果值为二进制数据，则需要使用BASE64编码。
• NSHTTPCookieOriginURL，该Cookie的原始URL，通过 Cookie可以追踪用户的访问路径。
• NSHTTPCookieVersion，同versiob，Cookie的版本，0表示遵循Netscape的Cookie规范，1表示遵循W3C的RFC 2109规范。
• NSHTTPCookieDomain，同domain，Cookie的课访问的域名，注意第一个字符必须为‘.’。
• NSHTTPCookiePath，同path，该Cookie的使用路径。如果设置为“/A/”，则只有contextPath为“/A”的程序可以访问该Cookie。如果设置为“/”，则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。
• NSHTTPCookieSecure，该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS，SSL等，在网络>上传输数据之前先将数据加密。默认为false。
• NSHTTPCookieComment，该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。
• NSHTTPCookieMaximumAge，该Cookie失效的时间，单位秒。如果为正数，则该Cookie在>maxAge秒之后失效。如果为负数，该Cookie为临时Cookie，关闭浏览器即失效，浏览器也不会以任何形式保存该Cookie。如果为0，表示删除该Cookie。默认为–1。

2.Session

2.1 Session机制

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。
Session由于保存在服务器，为了快速的操作数据，一般会把Session放到内存中。Session在用户第一次访问由服务器创建，Session生成后，只要用户继续访问，服务器就会更新Session。用户没访问一次服务器，服务器都会对Session进行一次更新。这里可以理解成Session也是有生命周期的。

2.2 Session特点

Session虽然保存在服务端，但是他的正常运行也是许亚哦客户端支持的，这是因为一般Session的使用需要Cookie作为识别标识（当然，这种做法很古老，一般不采用了，因为不知道客户端是否支持Cookie）。同一机器的两个浏览器窗口访问服务器时，会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口（也就是说不是双击桌面浏览器图标等打开的窗口）除外。这类子窗口会共享父窗口的Cookie，因此会共享一个Session。
为了解决客户端不支持Cookie的问题，一般采用URL地址重写的方法。具体的就是把Sessionid放到URL的后面或者拼接到URL上面。

3.Cookie和Session的区别和联系

• cookie数据存放在客户的浏览器上，session数据放在服务器上；
  （2）cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session；
  （3）session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。考虑到减轻服务器性能方面，应当使用COOKIE；
  （4）单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的COOKIE不能超过3K；
  Cookie和Session的方案虽然分别属于客户端和服务端，但是服务端的session的实现对客户端的cookie有依赖关系的，上面我讲到服务端执行session机制时候会生成session的id值，这个id值会发送给客户端，客户端每次请求都会把这个id值放到http请求的头部发送给服务端，而这个id值在客户端会保存下来，保存的容器就是cookie，因此当我们完全禁掉浏览器的cookie的时候，服务端的session也会不能正常使用。