session、cookie、token的区别

三者核心是身份认证/状态保持的不同实现方式，核心区别在存储位置、安全性和扩展性上：

• Cookie：存储在客户端浏览器，体积小（约4KB），可设置过期时间，常用于记录用户偏好（如记住登录状态14天），但易被篡改，安全性较低。
• Session：数据存储在服务器，客户端仅存一个“session ID”（通常放在Cookie里），安全性高，但服务器压力大，且不适合分布式系统（多服务器间难共享session数据）。
• Token：无状态的“身份令牌”，由服务器生成后发给客户端（可存在Cookie、LocalStorage等），客户端每次请求携带Token，服务器验证即可，支持跨域和分布式系统，是目前前后端分离、App开发的主流方案。