session、cookie、token

首先我们要明白HTTP是一种无状态协议，怎么理解呢？很简单

夏洛：大爷，楼上322住的是马冬梅家吧？
大爷：马冬什么？ 
夏洛：马冬梅。 
大爷：什么冬梅啊？ 
夏洛：马冬梅啊。 
大爷：马什么梅？
夏洛：行，大爷你先凉快着吧。

这段对话都熟悉吧，HTTP就是那个大爷，那如果我们就直接把“大爷”放给用户，用户不用干别的了，就不停的登录就行了。

既然“大爷不靠谱”，我们找“大娘”去吧。

哈哈哈，开个玩笑，言归正传。

为了解决用户频繁登录的问题，在服务端和客户端共同维护一个状态——会话，就是所谓session，我们根据会话id判断是否是同一用户，这样用户就开心了。

但是服务器可不开心了，因为用户越来越多，都要把session存在服务器，这对服务器来说是一个巨大的开销，这是服务器就找来了自己的兄弟帮他分担（集群部署，负载均衡）。

但是问题依然存在，如果兄弟挂了怎么办，兄弟们之间的数据怎么同步，用户1把session存放在机器A上，下次访问时负载均衡到了机器B，完了，找不到，用户又要骂娘。

这时有人思考，为什么一定要服务端保存呢，让客户端自己保存不就好了，所以就诞生了cookie，下一次请求时客户段把cookie发送给服务器，说我已经登录了。

但是空口无凭，服务器怎么知道哪个cookie是我发过去的呢？如何验证成了新的问题。

有人想到了一个办法，用加密令牌，也就是token，服务器发给客户端一个令牌，令牌保存加密后id和密钥，下一次请求时通过headers传给服务端，由于密钥别人不知道，只有服务端知道，就实现了验证，且别人无法伪造。