token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态的HTTP提供的持久机制。
token存在哪儿都行,localstorage或者cookie。
token和cookie举例,token就是说你告诉我你是谁就可以。
cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。
token 举例:直接给服务员看自己身份证。
对于token而言,服务器不需要去查看你是谁,不需要保存你的会话。当用户logout的时候cookie和服务器的session都会注销;但是当logout时候token只是注销浏览器信息,不查库。
token优势在于,token由于服务器端不存储会话,所以可扩展性强,token还可用于APP中。
归总一下
Token 完全由应用管理,所以它可以避开同源策略。
Token 可以避免 CSRF 攻击。
Token 可以是无状态的,可以在多个服务间共享。