Cookie

cookie 是一個非常具體的東西，指的就是瀏覽器里面能永久存儲的一種數據，僅僅是瀏覽器實現的一種數據存儲功能。

cookie由服務器生成，發送給瀏覽器，瀏覽器把cookie以kv形式保存到某個目錄下的文本文件內，下一次請求同一網站時會把該cookie發送給服務器。由于cookie是存在客戶端上的，所以瀏覽器加入了一些限制確保cookie不會被惡意使用，同時不會占據太多磁盤空間，所以每個域的cookie數量是有限的。

Session

session 從字面上講，就是會話。這個就類似于你和一個人交談，你怎么知道當前和你交談的是張三而不是李四呢？對方肯定有某種特征（長相等）表明他就是張三。

session 也是類似的道理，服務器要知道當前發請求給自己的是誰。為了做這種區分，服務器就要給每個客戶端分配不同的“身份標識”，然后客戶端每次向服務器發請求的時候，都帶上這個“身份標識”，服務器就知道這個請求來自于誰了。至于客戶端怎么保存這個“身份標識”，可以有很多種方式，對于瀏覽器客戶端，大家都默認采用 cookie 的方式。

服務器使用session把用戶的信息臨時保存在了服務器上，用戶離開網站后session會被銷毀。這種用戶信息存儲方式相對cookie來說更安全，可是session有一個缺陷：如果web服務器做了負載均衡，那么下一個操作請求到了另一臺服務器的時候session會丟失。

Token

Token的引入：Token是在客戶端頻繁向服務端請求數據，服務端頻繁的去數據庫查詢用戶名和密碼并進行對比，判斷用戶名和密碼正確與否，并作出相應提示，在這樣的背景下，Token便應運而生。

Token的定義：Token是服務端生成的一串字符串，以作客戶端進行請求的一個令牌，當第一次登錄后，服務器生成一個Token便將此Token返回給客戶端，以后客戶端只需帶上這個Token前來請求數據即可，無需再次帶上用戶名和密碼。最簡單的token組成:uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名，由token的前幾位+鹽以哈希算法壓縮成一定長的十六進制字符串，可以防止惡意第三方拼接token請求服務器)。

?

傳統身份驗證

HTTP 是一種沒有狀態的協議，也就是它并不知道是誰是訪問應用。這里我們把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。

解決的方法就是，當用戶請求登錄的時候，如果沒有問題，我們在服務端生成一條記錄，這個記錄里可以說明一下登錄的用戶是誰，然后把這條記錄的 ID 號發送給客戶端，客戶端收到以后把這個 ID 號存儲在 Cookie 里，下次這個用戶再向服務端發送請求的時候，可以帶著這個 Cookie ，這樣服務端會驗證一個這個 Cookie 里的信息，看看能不能在服務端這里找到對應的記錄，如果可以，說明用戶已經通過了身份驗證，就把用戶請求的數據返回給客戶端。

上面說的就是 Session，我們需要在服務端存儲為登錄的用戶生成的 Session ，這些 Session 可能會存儲在內存，磁盤，或者數據庫里。我們可能需要在服務端定期的去清理過期的 Session 。

基于 Token 的身份驗證

使用基于 Token 的身份驗證方法，在服務端不需要存儲用戶的登錄記錄。大概的流程是這樣的：

• 客戶端使用用戶名跟密碼請求登錄

• 服務端收到請求，去驗證用戶名與密碼

• 驗證成功后，服務端會簽發一個 ? ? Token，再把這個 Token 發送給客戶端

• 客戶端收到 ? ? Token 以后可以把它存儲起來，比如放在 Cookie 里或者 Local Storage 里

• 客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 ? ? Token

• 服務端收到請求，然后去驗證客戶端請求里面帶著的 Token，如果驗證成功，就向客戶端返回請求的數據

總結

以上是生活随笔為你收集整理的Cookie、session、token对比的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。