cookie与session

• cookie保存在客户端（浏览器）；

优点：

1. 极高的扩展性和可用性；
2. 通过良好的编程，控制保存在cookie中的session对象的大小；
3. 通过加密和安全传输技术（SSL），减少cookie被破解的可能性；
4. 只在cookie中存放不敏感数据，即使被盗也不会有重大损失。
5. 控制cookie的生命期，使之不会永远有效。偷盗者很可能拿到一个过期的cookie。

缺点：

1. cookie数量和长度的限制。每个domain最多只能有20条cookie，每个cookie长度不能超过4KB，否则会被截掉；
2. 安全性问题。如果cookie被人拦截了，那人就可以取得所有的session信息。即使加密也与事无补，因为拦截者并不需要知道cookie的意义，他只要原样转发cookie就可以达到目的了；
3. 有些状态不可能保存在客户端。例如，为了防止重复提交表单，我们需要在服务器端保存一个计数器。如果我们把这个计数器保存在客户端，那么它起不到任何作用；

• session保存在服务端（redis）

Session是由应用服务器维持的一个服务器端的存储空间，用户在连接服务器时，会由服务器生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间。
优点：

1. 适合存敏感信息；
2. 方便。

缺点：

1. 占用服务器资源；
2. 当有多个数据要存储时，不好用，受服务端系统限制；
3. 过多地使用Session变量就会导致无法代码冗余，并且使服务器运行成本提高。如果在Session中置入了较大的对象，随着访问量的增加，服务器将会因此而无法正常运行。