#cookie 与 session cookie 与 session 是一对形影不离的好兄弟，所以：有cookie就会有sesssion，有session 就会有cookie。 cookie存在于客户端，session存在于服务端。cookie与session相配合，实现了用户认证的功能，解决了张三是张三的问题。 我们用下图来模拟一下客户端与服务端之间的对话：  是的，过程就这么简单，在实际的请求过程中，也的确如上图一样，cookie就这样产生了。 总结如下： 1、当浏览器第一次访问服务器时，确切地说是一个域名时，那么是不会带有cookie信息的，然后服务器就会给它分配一个。只要服务器为浏览器分配了cookie，那么在以后的访问中，浏览器就会自动带上这个cookie来访问我们了。 2、当然了，我们还会为这个cookie设置一个过期时间，如果超过了这个时间点，浏览器再访问服务器时，就会摈弃这个cookie，然后再由服务器给它分配另一个cookie。 cookie的确是一个敏感信息，因为如果用户掌握到了我们的cookie，就会以我们的身份去访问那个站点。所以cookie是不能够跨域的，就是说，A服务器为浏览器分配的cookie，浏览器在访问B站点时，是不会带上A服务器为其分配的cookie的。 在firefox中，我们如下查看cookie信息。  在chrome中，我们如下查看cookie信息。  > 在这里，我们之所以要利用一些工具来查看cookie信息，是由于cookie的传递对于我们而言是透明的。浏览器由于自动进行了cookie传递，使得我们即使没有写发送cookie的代码，但cookie还是会由浏览器自动发送给服务器。当然，服务器发送给浏览器的cookie也是一样。这也是我们在分析一些数据流时，往往省略cookie数据的原因。 请多打开几个站点，看看他们都使用了什么cookie信息。 至于session，可以存在文件中，可以存在数据中，还可以存在于另外一些服务器（一台专门运行内存对象缓存系统的电脑）的内存中，它把数据存在哪里，以及怎么存储或读取的，并不是我们学习的重点。我们只需要知道，每一个cookie对应着<span class="text-danger">唯一</span>的一个session就可以了。 > session可以简单认为是一个小的数据库系统，它可以凭借一个叫做cookie的凭证来读取、写入、修改、删除数据。和数据库系统不同的是，它存的数据是有『有效期』的，过了这个有效期，它便会销毁数据。 在本章中，我们也正是利用了cookie与session的<span class="text-danger">唯一</span>性，来实现了用户认证。基本的验证流程如下：  cookie与session同时也是安全问题的一部分，前期有个了解就好，随着我们继续学习，以后将有机会在这方面进行深入的学习。