参考:一文讲透Token与Cookie、Session的区别 - 知乎 (zhihu.com)

cookie

由于 HTTP 的无状态,引入了 cookie,是通信双方用来传递信息的,保存在client

session

对用户身份的认证机制

cookie是实现session的一种方式,保存在server

如果不能用cookie(比如跨域),那么sessionId无法用cookie传递

什么是跨域?

答:跨域就违反了同源策略,请求了不同的IP或者端口的资源,导致跨域

同源策略:浏览器只能请求 相同协议、IP、端口的资源

token

对用户身份的认证机制

保存在client,和seesion的校验机制不一样

解决跨域不能共享 Cookie 的问题和 CSRF 攻击,不然用cookie包装sessionId也一样效果

JWT是token的一种实现方式

  1. header:指定了签名算法
  2. payload:可以指定用户 id,过期时间等非敏感数据
  3. Signature: 签名,server 根据 header 知道它该用哪种签名算法,再用密钥根据此签名算法对 head + payload 生成签名,这样一个 token 就生成了。

CSRF 攻击由于相同域名的请求会自动带上 cookie,而 cookie 里带有正常登录用户的 sessionid,类似转账操作在 server 就会成功,会造成极大的安全风险

总结

我们本质上使用的是用于认证用户身份的sessionid或者是token,他们都是对用户身份的认证机制,只不过方式不同

cookie是用来实现session的