①Cookie存储在本地浏览器上,可以被伪造,安全性低;Session存储在服务器上,过多的Session会消耗服务器资源
②每个Session都有一个session ID,当服务器生成一个session时,就会往客户端发送一个cookie,这个cookie里面存储的就是session ID
③Session存储的任意类型的java对象,而cookie只能存储String类型的对象
