实例引入：（客户就相当于客户端，老板就相当于服务器）

旧思路：对于cookie，相当于蛋糕店的老板给你一张纸，纸上写着你领取的物品：蛋糕，奶酪等等。这个纸片在 你手里，所以容易篡改，刚才大家已经看到了上面的篡改操作。

新思路：你买了蛋糕后，老板给你一张收据，收据上写着：‘编号89757’，你取物品时，老板打开账本核对‘编号 89757’以后发现对应物品是：蛋糕一份，取出蛋糕给你。这一次就不好伪造了，因为真正的收据在老板 手里。

简而言之：

cookie很容易被用户篡改或者假冒发送，所以它一般用在安全系数不是很高的地方，比如用户名，用户浏览 记录等等。既然这样那么我们应该怎么防范或者解决这个问题呢？

我们的session技术闪亮登场！