使用純客戶端中的cookie就能完成會話保持，為什么需要服務端的session？session的運行機制會產生一個session_id的cookie給客戶端保存，然后客戶端下次請求的時候會帶著這個session標識符給服務器，服務器根據這個來找session。不使用session同樣可以實現會話保持，這一點是肯定的也許你會說安全性問題。但這就是我不解的。以下是我親測的：登錄某網站，然后復制該網站的cookie。在另一個瀏覽器中打開該網站（未登錄狀態）并填入復制好的cookie，刷新頁面，網站變成了登錄狀態。（我不是指所有網站，只是個別網站）只要盜取了cookie，就能劫持session。同樣的道理，如果單使用cookie，那么也是一樣只要盜取了cookie就能做到冒充登錄。既然盜取了cookie，無論是session還是cookie都一樣會被冒充，那為什么需要session呢？看到很多關于session和cookie的文章都是泛泛而談，有沒有真正理解了這個原理的人告訴我這個小白菜鳥真正的答案啊。