1.存储数据量方面：session 能够存储任意的 java 对象，cookie 只能存储 String 类型的对象
2.一个在客户端一个在服务端。因Cookie在客户端所以可以编辑伪造，不是十分安全。
3.Session过多时会消耗服务器资源，大型网站会有专门Session服务器，Cookie存在客户端没问题。
4.域的支持范围不一样，比方说a.com的Cookie在a.com下都能用，而www.a.com的Session在api.a.com下都不能用，解决这个问题的办法是JSONP或者跨域资源共享。