session cookie token它们三个的区

Session、Cookie、Token 均用于身份认证，核心区别在存储位置和机制：
Cookie 是服务器发给客户端的轻量文本，存在浏览器，请求时自动携带，适合存会话 ID 等简单信息。
Session 数据存在服务器，通过 SessionID（常以 Cookie 传递）关联客户端，安全但占用服务器资源。
Token 是服务器生成的加密令牌，客户端自主存储（如 localStorage），请求时主动发送，服务器仅验证有效性，无状态，适合分布式和跨域场景。