熬夜彻底搞懂Cookie Session Token JWT

一切的根源就是因为 HTTP 是一个无状态的协议。

HTTP 是一个无状态的协议

什么是无状态呢？就是说这一次请求和上一次请求是没有任何关系的，互不认识的，没有关联的。

看过电影《夏洛特烦恼》的小伙伴肯定记得夏洛和大爷的一段对话：

夏洛：大爷，楼上322住的是马冬梅家吗？ 大爷：马冬什么？ 夏洛：马冬梅。 大爷：什么冬梅啊？ 夏洛：马冬梅啊。 大爷：马什么梅啊？ 夏洛：……行，大爷，您先凉快吧。

「打岔」大爷记不住马冬梅，就如同 HTTP 协议记不住上一次请求。说得通俗一点：HTTP 的记忆力不太好，需要借助『助听器』。

记忆力不好的优点就是一个字「快」；缺点也很明显，需要借靠 cookie、session 、token等机制将客户端多次请求关联起来。

想象一下如果没有 cookie、session、token 这样的机制，我们在网站上每次点击都需要重新输入密码认证，这样槽糕的体验你还愿意继续用吗？

在讲解cookie、session 、token前我们先简单讲解两个概念：认证、授权。