1.簡單介紹

session（會話）：

當用戶打開某個web應用時，便與web服務器產生一次session。服務器為了區分當前給自己發請求的是誰，給每個客戶端分配了一個不同的“身份標識”。客戶端發請求時需要攜帶該“身份標識”。“身份標識”的存儲方式很多，通常使用cookie。
服務器使用session把用戶的信息臨時保存在了服務器上，用戶離開網站后session會被銷毀。可是session有一個缺陷：如果web服務器做了負載均衡，那么下一個操作請求到了另一臺服務器的時候session會丟失。

cookie：

cookie是瀏覽器里面能永久存儲的一種數據。
cookie由服務器生成，發送給瀏覽器，瀏覽器把cookie以key-value形式保存到某個目錄下的文本文件內，下一次請求同一網站時會把該cookie發送給服務器。由于cookie是存在客戶端上的，所以瀏覽器加入了一些限制確保cookie不會被惡意使用，同時不會占據太多磁盤空間，所以每個域的cookie數量是有限的。

token（令牌）：

token是用戶身份的驗證方式，最簡單的token組成:uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名，由token的前幾位+鹽以哈希算法壓縮成一定長的十六進制字符串，可以防止惡意第三方拼接token請求服務器)。還可以把不變的參數也放進token，避免多次查庫

2.傳統身份驗證

HTTP是一種沒有狀態的協議，并不知道誰是訪問者。假設一個客戶端訪問服務端時發送賬號密碼，通過驗證。下回它再次訪問時，還是需要驗證。
解決辦法（session+cookie）：
1）客戶端訪問時，通過了驗證。
2）服務端生成一條記錄，記錄一些必要信息。
3）把記錄這些信息的ID號發送給客戶端
4）客戶端收到ID號后存儲在cookie中
5）下次客戶端重新訪問服務端時，帶上cookie信息
6）服務端驗證cookie里面的信息，如果能找到對應的記錄，則用戶通過了驗證

3.token身份驗證

1）客戶端使用賬號密碼請求登錄
2）服務端收到請求，驗證賬號密碼
3）驗證通過，服務端簽發一個token給客戶端
4）客戶端收到token存儲起來（例：存在cookie）
5）客戶端每次請求服務端時帶著服務端簽發的token
6）服務端收到請求，驗證token。驗證成功則返回數據給客戶端

4.常見問題

1.服務器上的token存儲到數據庫中，每次查詢會不會很費時？

如果存儲到數據庫中會造成系統的性能問題，可以放在內存中

2.客戶端得到的token需要如何處理？

i.在存儲的時候把token對稱加密
ii.將請求url、時間戳、token三者合并加鹽簽名，服務器驗證有效性