在一般的Web应用上，如果要实现用户登陆，最常用，也是最简单的方法就是使用Session，基本的思路是在Session中保留一些用户身份信息，然后每次在Session中取，如果信息不正确或不存在，那么身份验证失败，正确则成功。

Session和Cookie是两个很相似的东西，都是字符串，只不过Session是保存在服务器上的，而Cookie是保存在本地的，所以Cookie是不能用作身份验证的。Session故名思议，肯定和客户端与服务器间建立的会话相关，Session的工作过程也是如此，每当客户端和服务器上的一个站点建立了会话后，就会生成Session在服务器上，只不过Session里有没有相关的信息，就要看用户的提交操作了。

Session的区分是按照服务器给的SessionID来进行的，不同种类的服务器SessionID不同，以下列举几种SessionID：

①使用ASP.NET的IIS服务器：ASP.NET_SessionId

②使用Java的Tomcat服务器：JSESSIONID

利用Session进行的身份验证过程：

开启了Session支持的服务器在客户端开始会话的时候，生成一个SessionID，并且在响应（Response）头（Headers）中的Set-Cookie字段设置一个Cookie，Cookie的内容就是SessionID和Cookie的路径（path），在后继的会话中，客户端浏览器会自动附上Set-Cookie中的SessionID以向服务器表明身份，服务器根据SessionID在自己的存储中查找相关用户信息，并完成验证过程。

那么用户登陆的过程也就是用户对服务器提交用户名、密码等信息，获取SessionID的过程。

相关阅读：