cookie、session、token的区别

        这三者都和维持状态信息有关。比如我们如果在网页进行了一次登录，如果我们希望以后再访问该网页的时候，维持登录信息的话，就需要用到上面的这三种，如果不用的话，那么我们每次都需要携带登录信息到服务器，并且服务器需要将登录信息携带返回，后续请求的任何页面都需要这样，这样是很麻烦的。

        采用cookie的话，登录以后，服务器会返回给客户端一个cookie，cookie是保存在客户端的本地的，后续所有请求都会携带这个cookie进行访问，这样就维持了登录状态。

        但是，如果只用cookie来存储用户信息等内容的话，他会有很多的问题，

        cookie特点：

                优点：1.存储在客户端。2.帮助在客户端和服务器之间维护状态信息。

                缺点：1.安全风险:有被串改风险。2.容量限制4KB。3.可用限制:用户可能禁用。4.只能存储字符串对象。

        采用session的话，客户端发起登录请求，请求信息中会包括用户登录所需要的信息，服务器端拿到以后，会将其登录信息存入到服务器中，响应的时候会存入一个叫set-cookie的属性，再把当前session的唯一id放到属性当中，前端会自动在cookie当中存入当前的session的id，在下次请求的时候，就会携带这次的cookie，到服务器端，服务器端通过响应的sessionid找到存入的信息，进而完成登录的验证。session能够存入对象信息，不仅限于字符串类型。

        session特点：

                优点：1.安全性高:存储在服务器端。2.容量大:可以保存对象。

                缺点：1.占用服务器资源。2.扩展性差(分布式集群)。3.依然需要依赖cookie跨域限制。

        当服务器集群部署的时候，某一次session的信息只会存入一个服务器端，其他服务器不会存储相同的信息，当发生负载均衡的时候，选择了另外一个服务器，那么，就无法通过sessionid来获取响应的信息了。

        token就是一个秘钥字符串，jwt（json web token）提供了一种加密规范，也就是一种通过json来进行传递的加密后的字符串。

        jwt加密方法，加密后的加密字符串分为3部分：

        第一部分，就是header，下图中红色的字符串，来指定当前使用的算法和token类型：

        第二部分就是payload，下图中紫色的字符串，也就是来存放数据的地方：

        第三部分，是signature，是安全所在了，我们叫他秘钥。

        他会将base64编码之后的header和base64编码之后的payload相加，再加上只有自己知道的私钥，最后通过header中指定的算法来进行加密，最后就得到了下图蓝色的字符串了：

        引入token后，前后端以及集群的处理流程：

        token是一直在传输的一种字符串，并不依赖客户端或者服务器端的存储，只是一个传输过程中的一个字符串。能够解决跨域问题，更适合与前后端分离的项目和集群分布的项目。