Cookie、Session、Token、JWT详解

Cookie的传递过程

client发送http请求给server，server响应，并set-cookie头部信息，client保存cookie，之后的请求中服务端都会附带cookie头部信息， 使用cookie可以自动填写用户名、记住密码等。

但是，用户名密码等重要隐私存在cookie中还是会有风险。所以产生了session。cookies中会保存sessionid

Session

但是，session信息存到服务器过多会占用内存。为了提高效率，通常需要分布式做负载均衡。在认证的信息保存在内存中，用户访问那台服务器下次还得访问相同的机器才能获取授权，并且sessionid存在cookie还是会有风险，比如跨站请求伪造等

如何解决这个呢？token出现了

token不需要再存储用户信息，可以节约内存，其次，由于不存储信息，客户端访问不同的服务器也能进行鉴权，增加了拓展能力。然后token可以采用不同的加密方式进行加密，提高了安全性。

token传递过程和cokies类似，只是传递对象编程了token，用户使用用户名、密码请求服务器后，服务器生成token，再响应中返给客户端。客户端再次请求时就会带上token，服务器就可以用这个token认证鉴权。token可以解决session的问题，但是在认证token的时候还需要取数据库查询认证信息。

为了不查库直接认证，JWT出现了

JWT翻译是json web token，当用户发送带有登录详细信息的用户身份验证请求时，服务器将以JSON WEB TOKENS（JWT）的形式创建一个加密的令牌，并将其发送回客户端。当客户端收到令牌时，这意味着该用户以通过身份验证，可以使用客户端执行任何活动。

json对象存储包括：header（token）、payload传输内容、singature签名把header和payload用base64编码后再加上secrect私钥。JWT通常存储在客户端的localstorage中