淘宝网站,每时每刻都有过百万的用户登录退出,也是用SESSION或者COOKIE做的登录回话吗?

首先来理解一下COOKIE和SESSION。

COOKIE是目前最较为安全的在客户端存储数据的方式，这个基本没什么说的。
而SESSION本质上是一个创建出来的概念，然后在各种语言中实现了它而已。

SESSION是通过一个特定的COOKIE保存一个sessionid，然后在服务端通过这个sessionid，查询某个存储(或服务)查到对应的一段信息，由于我们可以保证这个sessionid只保存在用户的浏览器里，不会被窃取(防止了xss)，也很难被伪造(最原始的就是随机生成一段比较长的随机串)，所以可以用来作为用户临时身份鉴权的一个方式。

比如在PHP里，这个cookie的key是PHPSESSID，它的值是sessionid，一般是一个随机生成的字符串(如：rnlevc3m5t36kmeq3ffduab5o7)，而在服务端的/tmp 目录下，有一个 /tmp/sess_rnlevc3m5t36kmeq3ffduab5o7 文件，保存了你想对这个用户保存的个人信息。

这种方式是非常低效的。主要在三个方面。

1. 查询过程是读服务器文件，这个效率瓶颈可想而知
2. 查询过程是读本地文件，如果有多台机器，那么就无法共享了
3. rnlevc3m5t36kmeq3ffduab5o7是纯随机的，里面没有包含任何信息量

所以一般我们会借用这种思路，重新来实现SESSION

1. 把SESSEION从本地文件转移到一个高可用的中心化缓存，比如memcached集群，保证数据高效访问
2. 同上，一个中心化的缓存系统，这样多台机器就可以共享SESSION了
3. 用一种算法来生成rnlevc3m5t36kmeq3ffduab5o7这一串东西，在里面包含一些有用的信息，比如uid、过期时间等等，服务端加密，服务端解密，在某些情况下，可以减少对中心化缓存的依赖，提高性能