Cookie,Session,Token

session 和cookie 两个组合到一起能够自动保持会话
    client端通过http协议访问服务器  http协议是无状态   第一次访问服务器  服务器认为
你是新来的  第二次访问还是会认为你是新来的
    怎么保持这种相识的关系？ 当你访问服务器的时候会提交一些信息，这些信息都存放在http头部中  服务器能根据这些信息  生成一个唯一标识   但是相同配置相同环境的机器太多  
没办法从硬件 和环境中区分User-agent   
    所以在client访问服务器的时候  服务器生成一个唯一的字符串 并绑定该访问client
存放在服务器端, 这个字符串在响应给浏览器的时候顺便返回给client端 ,相当于给client端一把钥匙, 下次携带这个钥匙就能直接访问服务器
 而对于服务器来说session是服务器创建的
字符串下发到浏览器中 叫cookie
    与是否登陆无关  只要是访问服务器  就会返回一个session

token 和字符串一回事  token不会下发一个字符串 放在浏览器的cookie里
而是直接下发一个字符串  这个字符串你可以写到cookie里  也可以不写到cookie里
如果你的浏览器禁用了cookie

相同的源使用相同的会话机制
http和https 协议不同 不是同源
域名不同 不是同原
端口不同 不是同源

只能是资源不同  其他必须相同 才叫同源
不同源访问设置跨域

认证 账号密码对不对
从数据库拿到角色role  角色匹配权限rule 
 授权  赋予的权限
 下发手牌  无法伪造 JWT java wen token  会提供数据加密
jwt组成