cookie在浏览器端是可更改的 所以不安全 需要在后端进行限制session是存储在服务端的 是无法去修改的 cookie存储在浏览器端 可以被修改Session他保存的键值 是不可读的一个键值 可读性几乎为0 需要拿着id去取相对应的值 并且id也是唯一的一个值 阅读性为0的一个值 不可能通过前端的内容猜测出
