每天一道面试题--cookie，session，token

HTTP是无状态协议，Cookie、Session和Token都是用来做持久化处理的，目的就是让客户端和服务端互相认识。

• Cookie由服务器生成，通过响应头Set-Cookie字段发送给浏览器，浏览器把Cookie以键值对形式保存到某个txt文件里，下一次请求同一网站时会把该Cookie发送给服务器，服务器就知道这个请求来自于谁了。
• Session 会话。服务器用Session把用户的信息临时保存在服务器上，用户离开网站后Session会被销毁。
• Token 令牌 ，用户身份的验证方式，有点类似于Cookie，相对来说更安全。Token组成：uid（用户唯一的身份标识）、time（当前时间的时间戳）、sign（签名，由Token的前几位+以哈希算法压缩成一定长的十六进制字符串，可以防止恶意第三方拼接Token请求服务器）

一般流程：
1、客户端向服务端申请Token/cookie；
2、服务端收到请求，签发一个Token/cookie给客户端，服务端自己保存 Token/Session；
3、客户端收到服务端签发的Token/cookie会保存起来，每次请求带上Token/cookie；
4、服务器收到其他请求，会去验证客户端的Token/cookie，如果成功则返回数据，不成功做其他处理。

cookie和session的区别：

1. 存储位置及大小：cookie存放在客户端，有长度限制；session存放在服务器，可存放长度远大于cookie
2. 有效期：cookie可设置为长期保存；session有效期短，客户端关闭或超时都会失效
3. 安全性：cookie易于被获取；session安全性更高