cookie，session，token

1.为什么会有cookie？

       HTTP是无状态的，之前WEB基本上就是文档的浏览，作为服务器，不需要记录谁在某一段时间里都浏览了什么文档，每次都是一个新的HTTP协议，给予响应，显然不满足时代的发展，

为了解决这一共享信息的问题，就有（sessionid），浏览器为每个用户生成一个不一样的随机字符串，保存在客户端，每次想服务器发送请求的时候，就来验证一个这个字符串，这样就能

区分账号，这样就有了cookie，---》为了解决鉴权问题

2.session的缺点？

        虽然解决了共享信息的问题，但是同时会带来问题--资源开销，对于客户端来说session是非常好的，只需要cookie中存一个字符串就行了，但是服务器必须存储所有在线的用户（session），

那么这是很大一笔开销，严重影响了服务器的性能，这时可以选择去扩展服务器做集群，但是同时也出现分布式session，那么可以采用session粘滞或者session集中式管理来解决（一般将session

存在redis中）

3.cookie和session的区别？

        1.cookie数据服务器生成存放在客户的浏览器上；session数据放在服务器上

        2.cookie存放一些小而不敏感的数据，并且数据类型只能是字符串（json）；session可以存放任意数据，java中session中可以存放任意对象

        3.session必须依赖cookie实现

 

4.token？

        服务器生成、验证，以cookie或者请求头的方式传给客户端，客户端以同样方式发送给服务端，而相对于session，它是由服务器生成、存储、验证，以cookie的方式传给客户端，客户端以同样方式发送给服务端。

 

 

session是由服务器生成，存储，验证，以cookie的方式传递给客户端，客户端以同样的方式发给服务器，session是有状态的

token是服务器生成，验证，以cookie或者请求头的方式传递给客户端，客户端以同样的方式给服务器，token是无状态的

 

 

具体的流程：小黄登录系统---》服务端给他发了个令牌（里面携带了他的用户名和密码）---》后续小明再次访问服务器的时候，把这个 Token 通过 Http header 带过来不就可以了---》服务器需要验证token是不是自己生成的---》比如说服务端用 HMAC-SHA256 加密算法，再加上一个只有服务端才知道的密钥， 对数据做一个签名， 把这个签名和数据一起作为 Token 发给客户端， 客户端收到 Token 以后可以把它存储起来，比如存储在 Cookie 里或者 Local Storage 中，由于密钥除了服务端任何其他用户都不知道， 就无法伪造令牌(Token)---》如此，小明再次访问改服务器时，服务端使用相同的HMAC-SHA256 算法和相同的密钥，对数据再计算一次签名， 和 Token 中的签名做个对比， 如果相同，说明小明已经登录过了， 即验证成功。若不相同， 那么说明这个请求是伪造的。---》这样一来， 服务端只需要生成 Token，而不需要保存Token， 只是验证Token就好了 ，也就实现了时间换取空间(CPU计算时间换取session 存储空间)。没了session id 的限制， 当用户访问量增大， 直接加机器就可以轻松地做水平扩展，也极大的提高了可扩展性。