session 、cookie、token的区别(转)

session
  session的中文翻译是“会话”，当用户打开某个web应用时，便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来讲更安全，但是session有一个缺陷：若是web服务器作了负载均衡，那么下一个操做请求到了另外一台服务器的时候session会丢失。

 

cookie
  cookie是保存在本地终端的数据。cookie由服务器生成，发送给浏览器，浏览器把cookie以kv形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。因为cookie是存在客户端上的，因此浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，因此每一个域的cookie数量是有限的。

     cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，通常设置为全局:"\")、失效时间、安全标志(指定后，cookie只有在使用SSL链接时才发送到服务器(https))。下面是一个简单的js使用cookie的例子:

用户登陆时产生cookie:

document.cookie = "id="+result.data['id']+"; path=/";

document.cookie = "name="+result.data['name']+"; path=/";

document.cookie = "avatar="+result.data['avatar']+"; path=/";

使用到cookie时作以下解析：

var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {

    user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];

}

$('#user_name').text(user_info[' name']);

$('#user_avatar').attr("src", user_info[' avatar']);

$('#user_id').val(user_info[' id']);

 

token
     token的意思是“令牌”，是用户身份的验证方式，最简单的token组成:uid(用户惟一的身份标识)、time(当前时间的时间戳)、sign(签名，由token的前几位+盐以哈希算法压缩成必定长的十六进制字符串，能够防止恶意第三方拼接token请求服务器)。还能够把不变的参数也放进token，避免屡次查库

 cookie 和session的区别
一、cookie数据存放在客户的浏览器上，session数据放在服务器上。

二、cookie不是很安全，别人能够分析存放在本地的COOKIE并进行COOKIE欺骗
   考虑到安全应当使用session。

三、session会在必定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能
   考虑到减轻服务器性能方面，应当使用COOKIE。

四、单个cookie保存的数据不能超过4K，不少浏览器都限制一个站点最多保存20个cookie。

五、因此我的建议：
   将登录信息等重要信息存放为SESSION
   其余信息若是须要保留，能够放在COOKIE中

token 和session 的区别
    session 和 oauth token并不矛盾，做为身份认证 token安全性比session好，由于每一个请求都有签名还能防止监听以及重放攻击，而session就必须靠链路层来保障通信安全了。如上所说，若是你须要实现有状态的会话，仍然能够增长session来在服务器端保存一些状态

    App一般用restful api跟server打交道。Rest是stateless的，也就是app不须要像browser那样用cookie来保存session,所以用session token来标示本身就够了，session/state由api server的逻辑处理。 若是你的后端不是stateless的rest api, 那么你可能须要在app里保存session.能够在app里嵌入webkit,用一个隐藏的browser来管理cookie session.

 

   Session 是一种HTTP存储机制，目的是为无状态的HTTP提供的持久机制。所谓Session 认证只是简单的把User 信息存储到Session 里，由于SID 的不可预测性，暂且认为是安全的。这是一种认证手段。 而Token ，若是指的是OAuth Token 或相似的机制的话，提供的是 认证 和 受权 ，认证是针对用户，受权是针对App 。其目的是让 某App有权利访问 某用户 的信息。这里的 Token是惟一的。不能够转移到其它 App上，也不能够转到其它 用户 上。 转过来讲Session 。Session只提供一种简单的认证，即有此 SID，即认为有此 User的所有权利。是须要严格保密的，这个数据应该只保存在站方，不该该共享给其它网站或者第三方App。 因此简单来讲，若是你的用户数据可能须要和第三方共享，或者容许第三方调用 API 接口，用 Token 。若是永远只是本身的网站，本身的 App，用什么就无所谓了。

  token就是令牌，好比你受权（登陆）一个程序时，他就是个依据，判断你是否已经受权该软件；cookie就是写在客户端的一个txt文件，里面包括你登陆信息之类的，这样你下次在登陆某个网站，就会自动调用cookie自动登陆用户名；session和cookie差很少，只是session是写在服务器端的文件，也须要在客户端写入cookie文件，可是文件里是你的浏览器编号.Session的状态是存储在服务器端，客户端只有session id；而Token的状态是存储在客户端。