HTTP协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录。Cookie和Session都是用来跟踪浏览器用户身份的会话方式，目的就是为了弥补HTTP的无状态特性。

Cookie是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带。

Cookie中保存已经登录过的用户信息，下次访问网站的时候，页面可以自动填写登录的一些基本信息。通常，它用于告知服务端两个请求是否来自于同一浏览器，如保持用户的登录状态。此外，Cookie还能保存用户首选项，主题和其他设置信息。

Session的作用是通过服务端记录用户的状态。一般我们会使用Cookie来管理Session，服务器第一次接收到请求时，生成一个Session ID ，通过响应头的Set-Cookie命令设置Session ID字段，并向客户端发送要求设置Cookie的响应。客户端收到响应后，在本机保存一个包含Session ID字段的Cookie信息，接下来客户端每次向同一服务器发送请求时，请求头都会带上包含该Session ID的Cookie，然后服务器通过读取请求头中的Cookie，获取到此次请求的Session ID。

需要注意的是，如果客户端禁用了Cookie，通过Cookie保存Session ID的方式就无法使用了，这时我们也可以把Session ID放在请求的URL里面，考虑到安全性，我们还可以对Session ID进行加密。

整体上看，Cookie和Session存在5点区别：

1.存放位置不同，Cookie 数据保存在客户端浏览器上，而Session 数据保存在服务器上。

2. 安全性不同，Cookie存放在本地浏览器上，可以对其进行伪造从而进行Cookie欺骗，所以相对来说，Session安全性更高。

3. 存储数据大小不同，单个Cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个Cookie，而Session则存储于服务端，浏览器对其没有限制。

4. 数据类型不同， Cookie 只支持存储字符串数据，而 Session 可以存储任意数据类型。

5. 有效期不同，Cookie 可设置为长时间保持，比如我们经常使用的自动登录功能，Session 一般生效时间较短，客户端关闭或者 Session 超时都会失效。