核心区别:session是服务器端存储的用户会话数据,cookie是客户端(浏览器)存储的小型文本,token是无状态的身份凭证,通常由客户端携带、服务器验证。
- 存储位置与安全性
• Session:存于服务器(内存/数据库),安全性高,不易被篡改,但会占用服务器资源。
• Cookie:存于客户端(浏览器文件),可被用户手动查看/修改,安全性较低,适合存非敏感信息(如记住登录状态)。
• Token:存于客户端(如LocalStorage/内存),本身是加密字符串,服务器不存数据,仅验证有效性,安全性依赖加密算法。
- 状态与扩展性
• Session:有状态,服务器需记录每个用户的会话,在分布式系统中需额外配置(如Session共享),扩展性差。
• Cookie:依赖客户端状态,服务器无需记录,但受存储大小(约4KB)和浏览器限制。
• Token:无状态,服务器不存会话数据,仅通过token验证身份,支持跨域、分布式系统,扩展性极强(如APP、小程序登录常用)。