Sesja jest trzymana po stronie serwera, dzięki czemu klient nie może jej zmodyfikować ani podejrzeć. Opiera się na ciasteczkach, tzn. klient dostaje w ciasteczku id sesji (samo id, bez jej danych), następnie z requestem je wysyła i dzięki temu serwer może odczytać to id i na tej podstawie znaleźć właściwą sesję. Ciasteczko z kolei można łatwiej modyfikować i podejrzeć, wszystkie jego dane są dostępne dla klienta i to po jego stronie są trzymane i wysyłane z requestami do serwera.
Przykładów może być wiele, kiedy czego używać zależy od tego czy dane które mamy mogą być dostępne i modyfikowane przez klienta czy nie. Dla przykładu w systemie z logowaniem id aktualnie zalogowanego użytkownika (na podstawie którego później możemy pobrać go z bazy) trzymamy w sesji, bo gdyby były w ciasteczku istniałoby ryzyko, że ktoś sobie tam wpisze dowolne id i "stanie się" kimś innym. Gdy jednak potrzebujemy przechowywać informację o tym czy użytkownikowi wyświetlił się jakiś komunikat informacyjny wyskakujący przy pierwszym otwarciu strony to nie ma potrzeby, aby serwer o tym wiedział i aby te dane gdzieś trzymać - wystarczy, że zapiszemy to w ciasteczku, jak ktoś je usunie bądź edytuje to najwyżej komunikat pokaże mu się jeszcze raz. No chyba że to jakiś naprawdę ważny komunikat, dla przykładu akceptacja regulaminu, który musimy mieć pewność że został potwierdzony, wtedy trzeba to zapisać na serwerze (i na stałe, więc na pewno nie w sesji a bardziej bazie danych)