使用纯客户端中的cookie就能完成会话保持，为什么需要服务端的session？

1. session的运行机制会产生一个session_id的cookie给客户端保存，然后客户端下次请求的时候会带着这个session标识符给服务器，服务器根据这个来找session。

2. 不使用session同样可以实现会话保持，这一点是肯定的

3. 也许你会说安全性问题。但这就是我不解的。以下是我亲测的：

登录某网站，然后复制该网站的cookie。在另一个浏览器中打开该网站（未登录状态）并填入复制好的cookie，刷新页面，网站变成了登录状态。（我不是指所有网站，只是个别网站）
只要盗取了cookie，就能劫持session。同样的道理，如果单使用cookie，那么也是一样只要盗取了cookie就能做到冒充登录。
既然盗取了cookie，无论是session还是cookie都一样会被冒充，那为什么需要session呢？看到很多关于session和cookie的文章都是泛泛而谈，有没有真正理解了这个原理的人告诉我这个小白菜鸟真正的答案啊。