Cookie and Session

Security是Spring重要的模組之一，提供關於Access的保護機制，關於Access的問題，腦中就會有Cookie、Session等的相關資訊出現，由於Http屬於Statless，基本上每個Request都不會互相影響，這種特性也造成無法是哪一位客戶端請求連線，因此出現了Cookie以及Session，每個請求內都帶著這些資料，如此一來我們就能夠明白這些使用者各自為誰。

Cookie

Cookie其實是一種儲存在瀏覽器內存中的文字訊息、明文傳遞、大小限制為4KB，當瀏覽器關閉後，將會儲存於文字檔中，於下次連線時才會再次執行。

看看上面稍微介紹Cookie作用，會發現其實這算是一種不安全的作法，不適合將過於敏感的訊息放入當中，也很多人開始反對用Cookie，但目前來講Cookie還是沒有發生太多的安全漏洞，也算是被挑戰過的一項技術。

Session

上述說了，Cookie是不安全且不適合複雜的儲存方式，所以也就有Session，不同於Cookie，Session是儲存於Server端的，當連線建立後，Server將會把Session ID放入Cookie，接下來的訪問都會帶著這個ID操作，也因這樣Session儲存著敏感的資料，代表也最容易受到攻擊。