Session

Session 是一个抽象概念，在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件、内存中；

Cookie

Cookie是一个实际存在的东西，http 协议中定义在 header 中的字段，是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。

对比

1，session 在服务器端，cookie 在客户端（浏览器）

2，session 默认被存在在服务器的一个文件里（不是内存）

3，session 可以放在 文件、数据库、或内存中都可以。

4，session 的运行依赖 session id，而 session id 是存在 cookie 中的，也就是说，如果浏览器禁用了 cookie ，同时 session 也会失效（但是可以通过其它方式实现，比如在 url 中传递 session_id）

5，用户验证这种场合一般会用 session 因此，维持一个会话的核心就是客户端的唯一标识，即 session id