session cookie token的区别

核心区别：session是服务器端存储的用户会话数据，cookie是客户端（浏览器）存储的小型文本，token是无状态的身份凭证，通常由客户端携带、服务器验证。

1. 存储位置与安全性

• Session：存于服务器（内存/数据库），安全性高，不易被篡改，但会占用服务器资源。

• Cookie：存于客户端（浏览器文件），可被用户手动查看/修改，安全性较低，适合存非敏感信息（如记住登录状态）。

• Token：存于客户端（如LocalStorage/内存），本身是加密字符串，服务器不存数据，仅验证有效性，安全性依赖加密算法。

2. 状态与扩展性

• Session：有状态，服务器需记录每个用户的会话，在分布式系统中需额外配置（如Session共享），扩展性差。

• Cookie：依赖客户端状态，服务器无需记录，但受存储大小（约4KB）和浏览器限制。

• Token：无状态，服务器不存会话数据，仅通过token验证身份，支持跨域、分布式系统，扩展性极强（如APP、小程序登录常用）。