什么是session

session 从字面上讲，就是会话

在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象）

session讲解

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。

Session是在无状态的HTTP协议下，服务端记录用户状态时用于标识具体用户的机制。 它是在服务端保存的用来跟踪用户的状态的数据结构，可以保存在文件、数据库或者集群中。在浏览器关闭后这次的Session就消失了，下次打开就不再拥有这个Session。 其实并不是Session消失了，而是Session ID变了，服务器端可能还是存着你上次的Session ID及其Session 信息，只是他们是无主状态，也许一段时间后会被删除。

什么是cookie

cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以kv形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。 由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。Cookie具有不可跨域名性。

session和cookie区别

什么场景适用于session？什么场景适用于cookie？

4.编码实战

5.扩展思考

token，就是我们常说的用户身份令牌。

只有涉及到受限资源的访问时候才需要身份令牌，所以，在访问开放资源时候http中是没有token的信息的，也即是说这时候会话是完全无状态的。 token的是在用户登录以后生成的。用户登录之后我们会生成一个token作为key保存用户的信息并返回给客户端。保存方式set（token，用户信息）存储到redis等介质。 之后客户端发起的请求只要在请求头中附带token的信息就可以完成身份认证。

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519)。

该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。