cookie、session、JWT(Json Web Token) 的区别？

cookie、session、JWT(Json Web Token) 的区别？

答：

要从http的无状态说起，http是无状态的，也就是如果你第一次访问服务器，之后再次访问的时候，服务器是不会意识到你再次来进行访问的。不想让已经登录的用户再次输入密码的话，就得使用存储了。

• cookie（客户端、数据载体）：
  可以实现每一次http请求都自动带数据给服务器的技术。先是浏览器发起http请求，服务器会进行cookie设置，键和值两个重要的属性，发给浏览器的时候，浏览器会自动进行保存起来，之后浏览器以后发送的每一个请求都会自动附带上cookie，说白了，就是存储在浏览器的一种数据而已。
  
• session（会话，诞生并保存在服务器端）：
  浏览器访问服务器会话结束的时间比较模糊，你关掉网页也可能只是按错了而已，因此不同的网站对与每一个会话都设定了时间(也就是结束会话的时间)和唯一的id（session_id），并且保存在数据库里面，这里有了用户名为什么还要sessionid，设置sessionid和结束时间后，还需要把它们放在cookie中，然后浏览器拿到后，进行保存。
  黑客拿到session也没有用了，无序的，所以不能用sessionid推断出用户的密码，服务器发送前会对含有sessionid的cookie进行签名，修改了也没用，之后每次访问都会携带cookie中的session，直到有效期失效，会话结束。
  缺点：

1. session只能在web的场景下使用，如果是App中的，不能使用cookie的情况下就不能用了。 session 需要基于 cookie 实现，所以移动端常用的是 token
2. 在web场景下使用，可能出现一个跨域的问题，cookie不能跨域,多级域名可以设置domain字段解决【解决办法是使用单点登录或者web下使用local storage】
3. 如果是分布式服务需要考虑session同步的问题
   改进：
   cookie+session中，我们把session存储到redis中去，既可以提高速度，又避免了Session同步的问题。可以用于分布式

• JWT(Json Web Token，诞生在服务器，保存在浏览器)
  随着互联网的发展，用户群体越来越大，如果继续使用session的话，特定时间有大量的用户访问服务器的时候，会面临存储大量的sessionid在服务器里面，如果有多台服务器的话，一台存储可能会超载，那么会存储到其他的服务器，所以说其他的服务器就需要通用的sessionid，服务器这样分享也不是办法。考虑用数据库存储，但是数据库也会有崩溃的情况，随之出现JWT技术。（token存储在用户）
  
  JWT由三部分组成，有一定的安全性，生成签名token后，再次被cookie携带过来之后，服务器会用保存的密码进行验证
  
  优点：

1. 使用 json 作为数据传输，有广泛的通用型，并且体积小，便于传输；
2. 不需要在服务器端保存相关信息；
3. jwt 载荷部分可以存储业务相关的信息（非敏感的），例如用户信息、角色等；