什么是cookie？

　　cookie是服务器程序存储在浏览器本地硬盘的信息。

cookie有什么特点？

　　cookie采用的是键值对结构存储，只不过键和值都是字符串类型。不同浏览器下cookie个数和长度我没有去特意研究，参考了网上资料不同浏览器中Cookies的长度。因为是保存在浏览器本地，所以用浏览器调试是可以看到cookie信息。不同的服务器程序（用域名区分）有着不同的cookie域，不会出现百度拿到淘宝cookie信息的情况。不同内核的浏览器使用的不是同一个cookie域，例如IE浏览器登录了淘宝，搜狗浏览器进入淘宝是登录状态（之所以说是登录状态而不只是说同样的cookie，待我写完session再说），谷歌浏览器则是未登录状态。因为IE和搜狗浏览器同是IE内核，谷歌浏览器不是。

cookie的生命周期是什么？

　　cookie的生命周期由服务器程序在生成cookie信息时候决定，没有指定过期时间则在浏览器关闭时失效，有指定过期时间则在指定时间内就算浏览器关闭重启也一样有效。

谷歌浏览器下查看cookie：

什么是session？

　　session是服务器程序记录在服务器端的会话消息。

session有什么特点？

　　session也是采用键值对的结构存储，键为string类型，值为任意类型，用Map表示就是Map<String,Object>。session功能依赖于浏览器的cookie功能，只有cookie没被禁止的时候session才能正常使用。cookie里面有个键值对是关联sessionid的（基于Java开发的服务器对应的sessionid键名为JSESSIONID），通过sessionid来确定哪个session里面存放的是哪个浏览器用户的会话消息。

session的生命周期是什么？

　　session从浏览器第一次访问服务器程序（访问静态资源不算）开始创建，当浏览器关闭时或者服务器设置的session时效过了时session过期。

如果光说cookie和session的概念、特点和生命周期，我感觉百度说的比我更详细。下面我讲讲cookie、session在开发中常用的用途，不论是在jsp、asp、PHP中都可以共用的思路（我猜测asp和php也有对应的实现），如果我只讲jsp，前面我就会讲得更细致更针对jsp。cookie配合session做的最多的还是自动登录，我来讲讲自动登录的实现机制。

半自动登录（每个B/S应用都少不了）：

第一次访问服务器时cookie中记录下sessionid，创建了session，服务器判断session中有没有登录成功的标志（例如存放了用户id或者用户信息），如果是登录了转向需要登录权限的界面，如果没有登录则转向登录界面进行登录，登录成功了则把登录信息放入session中（例如放用户id或者用户信息）。在浏览器没有关闭或者session时效内的时候是无需重复登录的，所谓的退出登录不过是把session里面的登录标志清除掉或者让session失效等操作。之所以说他是半自动登录主要还是因为浏览器一关就需要重登。

全自动登录（部分网站为了解决浏览器关闭就需要重登而采取的措施）：

　　主要是利用cookie在浏览器关闭了还存在的原理来弥补session关闭了就不存在的缺陷。在session中没有已登录标志优先去查看cookie中是否存在账户信息而进行验证等流程，具体怎么判断登录根据需求来做就行了。

总结：

　　cookie和session可以给用户带来方便，但是需要注意的是安全问题，不要明文存储用户的账号敏感信息存在cookie中，以及合理设置cookie和session的有效时长，还有就是session中不要存放过多东西，毕竟存放在服务器端需要占用挺多空间的，一次性的东西尽量放request里面。