个人粗浅理解:
cookie存储在本地当前浏览器中,可以保存用户在本站点的用户名、密码等信息,且有时间限制,可以设定超时失效,或者关闭浏览器失效。
session相当于把用户的信息存储在远程服务器中,用户本地只保存sessionid,用户访问时携带sessionid,服务端验证通过,则启用服务端的session。
从安全性来讲,session更安全,但占用服务器资源,所以重要信息存储为sessoin更好一些。其余信息存储为cookie,访问时携带即可
参考:http://www.cnblogs.com/shiyangxt/archive/2008/10/07/1305506.html