-
Cookie 是存储在浏览器端的一个小文本文件,是载体。
-
Session 是存储在服务器端的一种会话机制,是数据。
3.Token 是一种身份凭证(通常是加密字符串),由服务器颁发,客户端保存和发送。
一、通俗比喻:银行 vs 银行账户
想象一下你去银行(服务器)办业务:
Cookie 模式(SessionID 模式):
你第一次去,银行给你一张 “存取卡”(Cookie),卡上只有你的卡号(SessionID),没有其他信息。
你之后每次办业务,都出示这张卡。
银行根据卡号(SessionID),在自己的大型保险柜(服务器内存/数据库) 里找到你的完整账户信息(Session 数据)。
风险:如果别人偷了你的卡(盗取 Cookie),他就能冒充你去银行办业务。
Token 模式(例如 JWT):
你第一次去,银行给你一张 “加密身份证明”(Token),这张证明上用特殊的防伪技术(加密签名)写明了你的姓名、账户级别、有效期等信息。
你之后每次办业务,都出示这张证明。
银行不需要去查自己的保险柜,只要现场验证这张证明的防伪标记(签名) 是否有效,并读取证明上的信息,就能确认你的身份。
优势:银行减轻了保管信息的压力(无状态),也方便你在分行(其他服务器)办理业务。
三、核心关系与总结
Cookie 和 Session 的经典组合:
这是一种有状态的会话管理方式。
Cookie 是搬运工,负责在浏览器和服务器之间传递 Session 的“钥匙”(SessionID)。
Session 是保险箱,服务器用这把“钥匙”找到对应的用户数据。
问题:服务器需要维护这个“保险箱”,用户量大时负担重,且多服务器时“保险箱”需要共享。
Token(现代主流方式):
这是一种无状态的认证方式。
Token 本身就是“身份证”,包含了所有必要信息,服务器不需要维护会话状态。
Token 不再是“钥匙”,而是“凭证”。客户端保存它,并在每次请求时出示。
特别适合 RESTful API、前后端分离、移动App 和 微服务/分布式架构。
四、如何选择?
选择 Session-Cookie 模式:
传统的、服务端渲染的 Web 应用(如 PHP、JSP、Ruby on Rails)。
需要服务器端严格控制会话生命周期(如强制下线)。
选择 Token 模式:
前后端分离应用(如 Vue/React + Node.js/Go)。
需要为移动端(iOS/Android)或第三方应用提供 API。
构建无状态的、可水平扩展的微服务架构。