场景：

商店购物

Cookie相当于顾客拿着的一张会员卡（由服务器传给客户端的）

Session相当于商店存着的关于顾客的档案（由服务器来维护的）

Web场景中

Cookie是属于HTTP协议规定的内容

Session没有硬性规定，有各种方案实现

HTTP协议规定的

请求头：Cookie

响应头：set-Cookie

几种情况：

删了浏览器中的Cookie，虽然服务器中的Session还在，但由于取不到Cookie，认为没登录

改了浏览器中的Cookie，它对应的Session-id找不到对应的Session，认为没登录

重启服务器，浏览器中的Cookie还在，但Session不见了，所以认为没登录

在代码的过程中

认证用户名密码是否正确

if（username.equals"xxyyzz"&&password.equals"123456"）{

//认证成功

User user=new User（username,password）;

//建立档案(有则取，无则重新建立)

HttpSession session=req.getSession(creat:true);

//（将当前登录用户内容填入档案中）

session.setAtrribute(name:"currentUser",user);

//告知用户："登陆成功！"

writer.println(''登陆成功！'')

}

else{

writer.println("用户名或密码错误")

}