#cookie 與 session cookie 與 session 是一對形影不離的好兄弟，所以：有cookie就會有sesssion，有session 就會有cookie。 cookie存在于客戶端，session存在于服務端。cookie與session相配合，實現了用戶認證的功能，解決了張三是張三的問題。 我們用下圖來模擬一下客戶端與服務端之間的對話：  是的，過程就這么簡單，在實際的請求過程中，也的確如上圖一樣，cookie就這樣產生了。 總結如下： 1、當瀏覽器第一次訪問服務器時，確切地說是一個域名時，那么是不會帶有cookie信息的，然后服務器就會給它分配一個。只要服務器為瀏覽器分配了cookie，那么在以后的訪問中，瀏覽器就會自動帶上這個cookie來訪問我們了。 2、當然了，我們還會為這個cookie設置一個過期時間，如果超過了這個時間點，瀏覽器再訪問服務器時，就會擯棄這個cookie，然后再由服務器給它分配另一個cookie。 cookie的確是一個敏感信息，因為如果用戶掌握到了我們的cookie，就會以我們的身份去訪問那個站點。所以cookie是不能夠跨域的，就是說，A服務器為瀏覽器分配的cookie，瀏覽器在訪問B站點時，是不會帶上A服務器為其分配的cookie的。 在firefox中，我們如下查看cookie信息。  在chrome中，我們如下查看cookie信息。  > 在這里，我們之所以要利用一些工具來查看cookie信息，是由于cookie的傳遞對于我們而言是透明的。瀏覽器由于自動進行了cookie傳遞，使得我們即使沒有寫發送cookie的代碼，但cookie還是會由瀏覽器自動發送給服務器。當然，服務器發送給瀏覽器的cookie也是一樣。這也是我們在分析一些數據流時，往往省略cookie數據的原因。 請多打開幾個站點，看看他們都使用了什么cookie信息。 至于session，可以存在文件中，可以存在數據中，還可以存在于另外一些服務器（一臺專門運行內存對象緩存系統的電腦）的內存中，它把數據存在哪里，以及怎么存儲或讀取的，并不是我們學習的重點。我們只需要知道，每一個cookie對應著<span class="text-danger">唯一</span>的一個session就可以了。 > session可以簡單認為是一個小的數據庫系統，它可以憑借一個叫做cookie的憑證來讀取、寫入、修改、刪除數據。和數據庫系統不同的是，它存的數據是有『有效期』的，過了這個有效期，它便會銷毀數據。 在本章中，我們也正是利用了cookie與session的<span class="text-danger">唯一</span>性，來實現了用戶認證。基本的驗證流程如下：  cookie與session同時也是安全問題的一部分，前期有個了解就好，隨著我們繼續學習，以后將有機會在這方面進行深入的學習。