接口鉴权cookie、session 和token

鉴权是指验证用户是否拥有访问系统的权利—鉴定权限。
cookie、session和token
为什么会有cookie、session和token？
1、 http是无状态协议
什么是无状态呢？
当前请求和上一次或者下一次请求是没有任何关系的，好处是速度快，坏处是无法共享信息。
2、 互联网的兴起
以前的网站，基本用来查看些文件或者图片，作为服务器不需要记录谁来放访问了什么文件，每次来一个新的HTTP请求， 给予响应即可。
但随着互联网的飞速发展， http无状态的缺点被放大。
各种各样的交互网站，必须登录后才能进行一些操作，比如发帖需要记录发帖人、浏览记录等，不同账号访问的信息必须独立存储。
3、 cookie、session的加入
我们不能修改HTTP协议（无状态），那么要解决共享信息的问题必须用其他的手段。
于是就有了会话ID(session id)，服务器为每个用户生成一个不一样的随机字符串(session id)，一份存在服务器，一份以cookie的形式写给浏览器。
浏览器每次向服务器发起HTTP请求时，携带这个字符串(session id)回传给服务器，这样就能区分谁是谁了。
4、 session有啥缺点呢？
虽然session解决了共享信息的问题，但同时对服务器带来了其他问题—资源开销（内存、cpu）。
对于浏览器来说sessionid是非常好用的，只需要在cookie中存一个字符串就行了，但是服务器必须存储所有在线的用户sessionid，那么同时在线的人数越多开销越大，严重影响了服务器的性能。
这时可以选择去扩展服务器做集群，但同时也出现分布式sessionid问题，那么可以采用session粘滞或者session集中式管理（redis）来解决。
5、 摆脱session，拥抱token
上述的解决方案都是围绕session，那么能不能不用sessionid来解决呢？
如果不适用sessionid，如何确保数据是服务器生成的呢？怎么去验证呢？用户信息存在哪？
于是有人想到了自己按照一定规则生成加密字符串，服务器只验证不存储，只要验证通过说明是自己生成的，用户信息存储在加密字符串中，这样性能、CORS(跨域资源共享)都能解决，而这个加密字符串就是token。
cookie、session的区别

cookie：客户端和服务端都能创建cookie，都是存放在客户端。存放一些小而不敏感的数据，并且数据类型只能是字符串（json）。
session：服务端生成session，存放在服务端。可以存放任意数据，java中session中可以存放任意对象。
session必须依赖cookie实现。
session和token的区别

session：服务器生成、存储、验证，以cookie的方式传给客户端，客户端以同样方式发送给服务端。
session有状态。
token：服务器生成、验证，以cookie或者请求头的方式传给客户端，客户端以同样方式发送给服务端。
token无状态。

接口鉴权方案
接口鉴权token解决方案：完成登录之后，获取到token字符串，再次请求时加入。
接口鉴权session解决方案：完成登录之后，获取带有session信息的cookie，再次请求时加入。