Cookie、Session、Token、JWT详解

首先，Cookie的传递过程：

client发送http请求给server，server响应，并set-cookie头部信息，client保存cookie，之后的请求中服务端都会附带cookie头部信息， 使用cookie可以自动填写用户名、记住密码等。

 但是，用户名密码等重要隐私存在cookie中还是会有风险。所以产生了session。cookies中会保存sessionid

 Session

但是，session信息存到服务器过多会占用内存。为了提高效率，通常需要分布式做负载均衡。在认证的信息保存在内存中，用户访问那台服务器下次还得访问相同的机器才能获取授权，并且sessionid存在cookie还是会有风险，比如跨站请求伪造等

如何解决这个呢？token出现了

token不需要再存储用户信息，可以节约内存，其次，由于不存储信息，客户端访问不同的服务器也能进行鉴权，增加了拓展能力。然后token可以采用不同的加密方式进行加密，提高了安全性。

token传递过程和cokies类似，只是传递对象编程了token，用户使用用户名、密码请求服务器后，服务器生成token，再响应中返给客户端。客户端再次请求时就会带上token，服务器就可以用这个token认证鉴权。token可以解决session的问题，但是在认证token的时候还需要取数据库查询认证信息。

为了不查库直接认证，JWT出现了

JWT翻译是json web token，当用户发送带有登录详细信息的用户身份验证请求时，服务器将以JSON WEB TOKENS（JWT）的形式创建一个加密的令牌，并将其发送回客户端。当客户端收到令牌时，这意味着该用户以通过身份验证，可以使用客户端执行任何活动。

json对象存储包括：header（token）、payload传输内容、singature签名把header和payload用base64编码后再加上secrect私钥。 JWT通常存储在客户端的localstorage中

 

其他

Cookie 和 Session 的区别

• 安全性：Session 是存储在服务器端的，Cookie 是存储在客户端的。所以 Session 相比 Cookie 安全，
• 存取值的类型不同：Cookie 只支持存字符串数据，想要设置其他类型的数据，需要将其转换成字符串，Session 可以存任意数据类型。
• 有效期不同： Cookie 可设置为长时间保持，比如我们经常使用的默认登录功能，Session 一般失效时间较短，客户端关闭（默认情况下）或者 Session 超时都会失效。
• 存储大小不同： 单个 Cookie 保存的数据不能超过 4K，Session 可存储数据远高于 Cookie，但是当访问量过多，会占用过多的服务器资源。