客户机访问服务器的每一个页面都会产生一个cookie,但是客户端在请求的时候会去查看自己保存的所有cookie文件(是一个纯文本文件),找到和要请求的服务器同名的cookie挑选合适信息一并发送。服务端和每个客户端之间都有一个session,并且服务端会创建sessionID返回给客户端,客户端将其保存在cookie里,因此客户端未开启cookie就无法保存,下一次客户端发送请求就会带上cookie及里面的sessionID去和服务器的sessionID匹配,如果匹配成功那么服务端就会认识你,让你获取session里的数据,这里可能会发生安全问题,就是别人窃取你的cookie知道你的sessionID冒充你也是可能的。所以我们可以通过将sessionID放在url后用键值对并且加密的形式传送(这时候我们也不需要客户端开启cookie了,因为服务端并不是将sessionID添加在cookie里再返回,而是直接用response返回,客户端可以直接接收),涉及到加密解密就不用担心了。
认证,指的是我要提供用户名和密码。授权,指的是服务端给我什么权限。