首先需要理解的是 http 协议是一个无状态（stateless）的协议。

什么叫无状态呢，就好比你去银行的柜台办事，柜员给你办完了你就离开了。柜员接着接待下一位顾客。
柜员不会把为你办的那一摊事和材料摊在桌上，等你下次再来。
因为你可能一个月或者一年都不来了。当然也可能明天还来。
你既可能下次还遇到这个柜员，也可能你下次通过银行的另一个网点来办事，和另一个柜员打交道。即便你找到这个柜员，但是柜员因为接待很多顾客，也不记得你了。

你访问http服务器也是一样，web服务器每次把你的访问当成一个全新的“顾客”。但是这就有一个问题了。
有时候你需要多次访问一个网站，并且让网站需要知道你的身份。比如说登录网站，总不能你每打开一个页面都要输入一次你的用户名和密码。
这里就要一种机制，来跟踪你的状态。

还是拿银行打比方。比如有的事情，你跑1次柜台就搞不定。那么怎么办？银行也不能保证柜员个人记住你的一切，或者收着你的材料等你来。银行的办法就是，通过你的身份证和银行卡来识别你的身份，你拿着相同的身份证或者卡号，那么你就是同一个人。银行有时候在办理业务的时候会给你一张凭条或者什么文件，嘱咐你，下次来办事，把这个纸条带上。但是，有些内容涉及机密，不能给你，怎么办，银行的工作人员有一个电脑，把你的身份证扫了一下以后，巴拉巴拉把一些信息输入了进去。

web网站也是一样的道理，这里银行给你的材料，让你每次都带来的，就是cookie，而银行根据你的身份，在他那里的计算机里做记录的，就是session。为什么说禁用了cookie，session不能工作呢？这就好比你没有带身份证，银行肯定不给你办事。

那么cookie在网站里的使用场景一般有什么呢，比如说，一些网站的草稿箱功能，暂时存储你的编辑的文本。还有的网站有记住用户名的功能，让你下次访问直接登录，就用cookie，而session一般起到单机应用里全局变量的作用。